Code Review
Wir nehmen Ihren Code für Sie unter die Lupe
Sie fragen sich, wie sicher Ihre Applikation ist? Wir identifizieren potentielle Sicherheitslücken in Ihrem Quellcode. Ein Großteil der Sicherheitsprobleme entsteht durch kritische Schwachstellen in Applikationen. Code Reviews identifizieren Sicherheitslücken im Quellcode. Dadurch werden Risiken minimiert.
Besonders bei sicherheitskritischen Applikationen, durch die der Zugang zu sensiblen Daten möglich ist, sollten Sie einen Code Review in Betracht ziehen. Als Ergebnis erhalten Sie von uns einen Report, der die im Quellcode analysierten Schwachstellen nach Kritikalität auflistet, sowie detaillierte Vorschläge zur deren Behebung. So schaffen Sie mehr Sicherheit. Von Anfang an.
Unsere Verfahren
In einer Analyse folgen wir einem standardisierten Vorgehen, bei welchem zu Beginn der gesamte Quell-Code, oder Teilbereiche, einem automatisierten Scan auf Schwachstellen unterzogen sind. Im nächsten Schritt werden die Ergebnisse dieses Scans in einem manuellen Verfahren auf Korrektheit betrachtet und weitere Angriffsvektoren, beispielsweise in der Businesslogik der Applikation, identifiziert.
Je nach Applikation verwenden wir statische oder manuelle Analyseverfahren. Dabei betrachten wir wahlweise einen Teilbereich oder Ihre komplette Applikation. Wir überprüfen die Einhaltung von anerkannten Secure Coding Guidelines und Best Practices. Unsere Verfahren unterstützen alle gängigen Programmiersprachen wie bspw. Java, C+, PHP, Python, uvm.
Beim statischen Analyseverfahren, auch SAST (Static Application Security Testing) genannt, werden automatisierte Tools eingesetzt, um Schwachstellen zu identifizieren. Anschließend findet eine manuelle Analyse des Codes auf Basis der Tool-Ergebnisse statt. Hierbei liegt der Fokus auf der Reduktion von False-positives und der Identifikation von weiteren Schwachstellen, die durch Code-Scanner nur schwierig bis gar nicht erfassbar sind. Im gesamten Prozess wird der Quellcode der Applikation überprüft, ohne diese auszuführen.
Rein statische Analyseverfahren stoßen an ihre Grenzen, wenn Fehler auf Businesslogik beruhen. An dieser Stelle greift das dynamische Analyseverfahren durch unsere Expert*innen. Diese mischt im Vorgehen die Modelle SAST und DAST (Dynamic Application Security Testing), um optimale Ergebnisse zu erreichen. Das Verfahren ist weitestgehend identisch mit einer statischen Analyse, jedoch ergänzt durch die Möglichkeit, die identifizierten Schwachstellen anhand einer laufendenden, produktionsnah konfigurierten, Anwendung auf Ausnutzbarkeit zu prüfen. Hierdurch erhalten Sie ein bestmögliches Bild des Sicherheitsniveaus Ihrer Anwendungen.
Unsere Empfehlung
Um ein ganzheitliches Bild des Sicherheitsniveaus Ihrer Anwendung zu erhalten, empfehlen wir die Durchführung eines Code Reviews in Form einer dynamischen Analyse. Die Überprüfung der Ergebnisse durch Expert*innen ist unabdingbar, um eine reale Einschätzung geben zu können. Wir suchen gezielt nach Fehlern in der Applikations- und Businesslogik, indem wir uns auf die typischen Schwachstellen wie Injection, Directory-Traversal, Buffer Overflow, Privilege Escalation etc. fokussieren. Ebenso analysieren wir die eingesetzten Kryptographiemethoden und überprüfen das Exception-Handling. Fehler in der Anwendung von Kontrollstrukturen lassen sich bei der umfangreichen Prüfung ebenfalls entdecken.
Code Review gemäß PCI DSS
Das PCI Security Standards Council hat eine Anforderung zur Überprüfung festgelegt. Laut PCI DSS v4.0 Requirement 6.2.3 muss mittels einem Code Review ein benutzerdefinierter Code, der von intern und extern erreichbar ist, auf Verwundbarkeiten überprüft werden.
