Индийский Starlink может обойтись в 15 миллиардов долларов Индийский Starlink может обойтись в 15 миллиардов долларов Слишком электрический: почему Toyota отменила флагман Lexus LF-ZC Слишком электрический: почему Toyota отменила флагман Lexus LF-ZC Ботситтинг и ботщиттинг: как ИИ создает новые формы ручного труда Ботситтинг и ботщиттинг: как ИИ создает новые формы ручного труда Американский бигтех расплачивается миллиардами за увольнение сотрудников Американский бигтех расплачивается миллиардами за увольнение сотрудников

Виртуализация zVirt 5.0 показала отсутствие уязвимостей по результатам очередного этапа grey-box тестирования CICADA8

🇷🇺 2 мин
Иллюстрация предоставлена пресс-службой Orion Soft

Orion soft, разработчик инфраструктурного ПО для крупного бизнеса, представил результаты очередного этапа анализа защищенности платформы виртуализации zVirt. Проверку версии zVirt 5.0 проводили специалисты CICADA8 в рамках программы регулярного тестирования продуктов Orion soft.

По итогам grey-box тестирования в согласованном периметре специалисты CICADA8 не подтвердили наличие уязвимостей в новой функциональности zVirt 5.0 и дополнительных сценариях проверки. Такой результат отражает не только состояние проверенной версии продукта, но и зрелость процесса безопасной разработки, который Orion soft последовательно развивает совместно с внешними экспертами.

Формат grey-box предполагает, что команда тестирования обладает ограниченной информацией о системе и проверяет продукт с позиции авторизованного пользователя. Такой подход позволяет оценить устойчивость ключевых механизмов безопасности в реалистичных условиях эксплуатации, но корректно интерпретировать его именно в рамках выбранной методики, периметра и временных ограничений.

В ходе работ специалисты CICADA8 проверили механизмы аутентификации и авторизации, управление сессиями, контроль доступа, API, обработку пользовательского ввода, клиентскую часть, конфигурацию и известные риски используемых компонентов. Отдельное внимание уделялось сценариям, которые могут приводить к несанкционированному доступу, повышению привилегий, нарушению изоляции пользователей или некорректной обработке данных.

Проверка zVirt 5.0 продолжает долгосрочное сотрудничество Orion soft и CICADA8, о котором компании объявили в марте 2026 года. В рамках этого взаимодействия CICADA8 проводит регулярный анализ защищенности продуктов Orion soft по мере выхода релизов и в формате повторных проверок, чтобы оценивать динамику изменений и подтверждать качество устранения замечаний.

«Защищенность zVirt обеспечивается за счет современных практик DevSecOps, регулярных проверок и взаимодействия с экспертами рынка информационной безопасности. Мы контролируем развитие продукта, используем статический анализ кода, SCA-анализ компонентов, скрипты безопасной конфигурации компонентов в соответствии с лучшими практиками CIS Benchmarks, участвуем в программе Standoff Bug Bounty и проводим регулярные внешние независимые пентесты. Такой подход позволяет российским компаниям, использующим zVirt, снижать киберриски в стратегической перспективе», — рассказал Максим Березин, директор по развитию бизнеса Orion soft.

«Для нас ценность такого проекта не сводится к разовой проверке перед публикацией релиза. В регулярном анализе защищенности команда постепенно накапливает контекст продукта, видит изменения от версии к версии и может точнее проверять не только отдельные классы уязвимостей, но и устойчивость архитектурных и процессных решений. По итогам текущего grey box-тестирования в согласованном периметре уязвимости в новой функциональности zVirt 5.0 и дополнительных сценариях проверки не были подтверждены. Это сильный результат, но корректно рассматривать его именно в рамках методики: хорошая безопасность держится на повторяемом процессе, внешней проверке, ретесте и готовности быстро дорабатывать продукт по результатам анализа», — добавил Алексей Хайдин, руководитель отдела анализа защищенности CICADA8.