Code Review: Was ist, wenn sich das Einfallstor für Hacker im Quellcode verbirgt?

24. Oktober 2019

Code Review – die Königsdisziplin der Sicherheitsanalysen

Unternehmen investieren heute in eine Vielzahl an Sicherheitsmaßnahmen, um ihre IT-Umgebungen vor Angriffen zu schützen. Dazu gehören die Zusammenarbeit mit zertifizierten Anbietern, die Gewährleistung eines sicheren Betriebs, Mitarbeiterschulungen für mehr Security Awareness, die Implementierung eines Incident-Response-Prozesses und vieles mehr. Aber was ist, wenn die betroffene Applikation in sich bereits eine Sicherheitslücke verbirgt, von der niemand etwas weiß?

Beim Code Review, der Königsdisziplin unter den Sicherheitsanalysen, wird der Quellcode einer Anwendung unter die Lupe genommen. Professionelle Security Analysten identifizieren so Schwachstellen im Code, die es Angreifern beispielsweise ermöglichen, unerlaubt sensible Daten zu sichten, zu verändern oder zu stehlen.

Wann sollte ein Code Review in Betracht gezogen werden?

In Ergänzung zu Pentests sind Code Reviews vor allem dann sinnvoll, wenn es etwas zu schützen gibt und das Risiko eines Angriffs potentiell sehr hoch ist: bei sicherheitskritischen Anwendungen, durch die der Zugang zu sensiblen Daten, wie Kundendaten, personenbezogenen Daten oder Geschäftsgeheimnissen möglich ist. Insbesondere, wenn es sich hierbei um Eigenentwicklungen handelt.

Welche Verfahren kommen beim Code Review zur Anwendung?

Je nach Anwendung und Gegebenheiten werden unterschiedliche Analyseverfahren verwendet. Meist kommt eine Kombination aus statischen und manuellen Analysen zur Anwendung. Bei der statischen Analyse kommen verschiedene Tools zum Einsatz. Zur Identifizierung von Eintrittspunkten wird hierbei automatisiert der Datenfluss analysiert, sodass Abhängigkeiten und Zusammenhänge des Daten- bzw. Kontrollflusses erkannt werden können.

Sofern Fehler im Quellcode auf der Business-Logik beruhen, stoßen statische Analyseverfahren jedoch an ihre Grenzen. Denn das Analysetool kann beispielsweise nicht beurteilen, ob die Daten wie geplant angezeigt, gespeichert, erstellt oder abgeändert werden. Hier verifiziert der Security Analyst im ersten Schritt manuell die identifizierten Schwachstellen der statischen Codeanalyse. Dadurch werden False-Positives erkannt, also Falschmeldungen des Analysetools. Anschließend wird der Quellcode manuell auf Schwachstellen hin untersucht. Hierdurch können auch Fehler in der Business-Logik aufgedeckt werden (ist ein unautorisierter Zugriff auf Dateisysteme und Services möglich?).

Welche Erkenntnisse liefert ein Code Review?

Neben einem umfangreichen Blick auf die Sicherheitssituation einer Anwendung liefert ein Code Review auch wertvollen Input über die Qualität der Entwicklungsprozesse, um nachhaltig für mehr Sicherheit in der Softwareentwicklung zu sorgen. Werden anerkannte Secure Coding Guidelines und Best Practices eingehalten? Ist das Entwicklungspersonal ausreichend geschult? Welche Risiken entstehen durch den unsicheren Code für die Anwendung? Welche unternehmerische Gefährdung ist damit verbunden? Welche technischen und organisatorischen Maßnahmen sollten umgesetzt werden, um das Sicherheitslevel zu erhöhen?

Sie fragen sich, wie sicher Ihre Anwendung ist? Die Security Analysten aus dem usd HeroLab nehmen Ihren Code für Sie unter die Lupe. Lassen Sie sich von uns zu Ihren Möglichkeiten beraten. Sprechen Sie uns gerne an

Auch interessant:

PCI DSS v4.0: INFI Worksheet eingestellt

PCI DSS v4.0: INFI Worksheet eingestellt

Das Payment Card Industry Security Standards Council (PCI SSC) hat die Einstellung des Worksheets "Items Noted for Improvement" (INFI) verkündet. INFI, eine Vorlage zur Dokumentation von verbesserungswürdigen Bereichen, war mit PCI DSS v4.0 eingeführt worden. Ab...

mehr lesen

Kategorien

Kategorien