Аудит сайта или мобильного приложения. Зачем и когда это делать?

Любой владелец сайта или мобильного приложения хочет чтобы его продукт отвечал всем современным требованиям, а также был безопасным и выдерживал любые нагрузки. За более чем 15 лет работы мы помогли решить тысячи проблем нашим клиентам и сегодня мы поговорим о самых популярных из них.

Для начала надо понимать какие аудиты бывают и тогда вы сможете понять нужен он вам или нет.

1. Проверка программного кода ПО

Если вы только закончили работу по разработке своего сайта или мобильного приложения, то аудит поможет вам принять работу у ваших подрядчиков или штатной команды. Аудиторы проверяют программный код и составляют подробный отчет о найденных ошибках и уязвимостях, при этом специалисты дают рекомендации по устранению этих проблем. Аудиторы - это высококвалифицированные специалисты, не ниже уровня Senior, поэтому очень часто бывает, что аудиторы могут дать рекомендации по переписыванию части кода или класса, для увеличения быстродействия приложения или чтобы избежать утечек памяти.

2. Нагрузочное тестирование

Если вашим сайтом или приложением будут пользоваться большое количество людей, то очень важно проверить его работоспособность при высоких нагрузках, чтобы не столкнуться с проблемой во время его боевого использования. Инженеры QA испытают ваш продукт с помощью самых передовых технологий, таких как Яндекс Танк, Gatling, LoadRunner и других. Если приложение или сайт упадут (не справятся с нагрузкой), то необходимо будет провести рефакторинг кода и найти проблемные места, которые дают большую просадку ресурсов. Также аудиторы могут подключить DevOps-ов, которые настроят мониторинг и аналитику по отслеживанию нагрузки и узких мест. Желательно использовать Grafana и аналогичный софт для получения отчетов по нагрузке.

3. Проверка интерфейса

Эта самая простая проверка, зачастую ее выполняет отдел ручного тестирования, главная задача которого обеспечить правильное отображение всех элементов продукта на всех современных устройствах.

4. Аудит серверной части

DevOps-инженеры и системные администраторы проверят конфигурацию ваших серверов, обеспечат должный уровень кэширования, балансировки нагрузки и проверят актуальность всех используемых библиотек. Если ваш продукт уже не новый, то аудиторы смогут проверить поддерживаемость технологий и библиотек, так как часто бывает, что некоторые обновления делать категорически нельзя, дабы это может повлиять на работоспособность приложения в целом.

5. Аудит безопасности

Инженеры по безопасности проверят ваш продукт и выявят слабые места, некоторые из которых могут быть несущественные, а некоторые критичные и влиять на риск несанкционированного доступа к важным данным приложения. Уязвимости приложения могут быть абсолютно разные, начиная от фишинговых защит и заканчивая уязвимостями на серверах

6. Аудит команды

Аудиторы могут проверить как устроен процесс разработки и тестирования у вас в компании, а также проверить уровень знаний отдельных сотрудников посредством технического интервью. Аудиторы могут проверить модель управления командой, правильность постановки задач и документацию к проекту.

Данная статья является вводной, чтобы у вас было общее представление об аудите ПО, так как каждый вид аудита можно выделить в отдельную статью.

В независимости от проекта и состава команд аудит программного обеспечения и инфраструктуры необходимо проводить не реже одного раза в год. Это позволит вам минимизировать риски и обеспечить наивысшую отказоустойчивость вашего приложения.