Пентесты проводились в рамках программы комплексного регулярного анализа защищенности экосистемы продуктов Orion soft.
<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:800/450;margin-bottom:2rem;overflow:hidden">
Orion soft, разработчик инфраструктурного ПО для крупного бизнеса, представил результаты очередного этапа анализа защищенности платформы виртуализации zVirt. Проверку версии zVirt 5.0 проводили специалисты CICADA8 в рамках программы регулярного тестирования продуктов Orion soft.
По итогам grey box-тестирования в согласованном периметре специалисты CICADA8 не подтвердили наличие уязвимостей в новой функциональности zVirt 5.0 и дополнительных сценариях проверки. Такой результат отражает не только состояние проверенной версии продукта, но и зрелость процесса безопасной разработки, который Orion soft последовательно развивает совместно с внешними экспертами.
Формат grey box предполагает, что команда тестирования обладает ограниченной информацией о системе и проверяет продукт с позиции авторизованного пользователя. Такой подход позволяет оценить устойчивость ключевых механизмов безопасности в реалистичных условиях эксплуатации, но корректно интерпретировать его именно в рамках выбранной методики, периметра и временных ограничений.
В ходе работ специалисты CICADA8 проверили механизмы аутентификации и авторизации, управление сессиями, контроль доступа, API, обработку пользовательского ввода, клиентскую часть, конфигурацию и известные риски используемых компонентов. Отдельное внимание уделялось сценариям, которые могут приводить к несанкционированному доступу, повышению привилегий, нарушению изоляции пользователей или некорректной обработке данных.
Проверка zVirt 5.0 продолжает долгосрочное сотрудничество Orion soft и CICADA8, о котором компании объявили в марте 2026 года. В рамках этого взаимодействия CICADA8 проводит регулярный анализ защищенности продуктов Orion soft по мере выхода релизов и в формате повторных проверок, чтобы оценивать динамику изменений и подтверждать качество устранения замечаний.
<blockquote> Защищенность zVirt обеспечивается за счет современных практик DevSecOps, регулярных проверок и взаимодействия с экспертами рынка информационной безопасности. Мы контролируем развитие продукта, используем статический анализ кода, SCA-анализ компонентов, скрипты безопасной конфигурации компонентов в соответствии с лучшими практиками CIS Benchmarks, участвуем в программе Standoff Bug Bounty и проводим регулярные внешние независимые пентесты. Такой подход позволяет поддерживать стабильно высокий уровень безопасности решения.
<footer>Максим Березин, директор по развитию бизнеса Orion soft</footer> </blockquote> <blockquote> Для нас ценность такого проекта не сводится к разовой проверке перед публикацией релиза. В регулярном анализе защищенности команда постепенно накапливает контекст продукта, видит изменения от версии к версии и может точнее проверять не только отдельные классы уязвимостей, но и устойчивость архитектурных и процессных решений. По итогам текущего grey box-тестирования в согласованном периметре уязвимости в новой функциональности zVirt 5.0 и дополнительных сценариях проверки не были подтверждены. Это сильный результат, но корректно рассматривать его именно в рамках методики: хорошая безопасность держится на повторяемом процессе, внешней проверке, ретесте и готовности быстро дорабатывать продукт по результатам анализа.
<footer>Алексей Хайдин, руководитель отдела анализа защищенности CICADA8</footer> </blockquote>
<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:800/450;margin-bottom:2rem;overflow:hidden">
Orion soft, разработчик инфраструктурного ПО для крупного бизнеса, представил результаты очередного этапа анализа защищенности платформы виртуализации zVirt. Проверку версии zVirt 5.0 проводили специалисты CICADA8 в рамках программы регулярного тестирования продуктов Orion soft.
По итогам grey box-тестирования в согласованном периметре специалисты CICADA8 не подтвердили наличие уязвимостей в новой функциональности zVirt 5.0 и дополнительных сценариях проверки. Такой результат отражает не только состояние проверенной версии продукта, но и зрелость процесса безопасной разработки, который Orion soft последовательно развивает совместно с внешними экспертами.
Формат grey box предполагает, что команда тестирования обладает ограниченной информацией о системе и проверяет продукт с позиции авторизованного пользователя. Такой подход позволяет оценить устойчивость ключевых механизмов безопасности в реалистичных условиях эксплуатации, но корректно интерпретировать его именно в рамках выбранной методики, периметра и временных ограничений.
В ходе работ специалисты CICADA8 проверили механизмы аутентификации и авторизации, управление сессиями, контроль доступа, API, обработку пользовательского ввода, клиентскую часть, конфигурацию и известные риски используемых компонентов. Отдельное внимание уделялось сценариям, которые могут приводить к несанкционированному доступу, повышению привилегий, нарушению изоляции пользователей или некорректной обработке данных.
Проверка zVirt 5.0 продолжает долгосрочное сотрудничество Orion soft и CICADA8, о котором компании объявили в марте 2026 года. В рамках этого взаимодействия CICADA8 проводит регулярный анализ защищенности продуктов Orion soft по мере выхода релизов и в формате повторных проверок, чтобы оценивать динамику изменений и подтверждать качество устранения замечаний.
<blockquote> Защищенность zVirt обеспечивается за счет современных практик DevSecOps, регулярных проверок и взаимодействия с экспертами рынка информационной безопасности. Мы контролируем развитие продукта, используем статический анализ кода, SCA-анализ компонентов, скрипты безопасной конфигурации компонентов в соответствии с лучшими практиками CIS Benchmarks, участвуем в программе Standoff Bug Bounty и проводим регулярные внешние независимые пентесты. Такой подход позволяет поддерживать стабильно высокий уровень безопасности решения.
<footer>Максим Березин, директор по развитию бизнеса Orion soft</footer> </blockquote> <blockquote> Для нас ценность такого проекта не сводится к разовой проверке перед публикацией релиза. В регулярном анализе защищенности команда постепенно накапливает контекст продукта, видит изменения от версии к версии и может точнее проверять не только отдельные классы уязвимостей, но и устойчивость архитектурных и процессных решений. По итогам текущего grey box-тестирования в согласованном периметре уязвимости в новой функциональности zVirt 5.0 и дополнительных сценариях проверки не были подтверждены. Это сильный результат, но корректно рассматривать его именно в рамках методики: хорошая безопасность держится на повторяемом процессе, внешней проверке, ретесте и готовности быстро дорабатывать продукт по результатам анализа.
<footer>Алексей Хайдин, руководитель отдела анализа защищенности CICADA8</footer> </blockquote>
- Источник новости
- www.securitylab.ru