Code Review
Wir nehmen Ihren Code für Sie unter die Lupe
Sie fragen sich, wie sicher Ihre Applikation ist? Wir identifizieren potentielle Sicherheitslücken in Ihrem Quellcode. Ein Großteil der Sicherheitsprobleme entsteht durch kritische Schwachstellen in Applikationen. Code Reviews identifizieren Sicherheitslücken im Quellcode. Dadurch werden Risiken minimiert.
Besonders bei sicherheitskritischen Applikationen, durch die der Zugang zu sensiblen Daten möglich ist, sollten Sie einen Code Review in Betracht ziehen. Als Ergebnis erhalten Sie von uns einen Report, der die im Quellcode analysierten Schwachstellen nach Kritikalität auflistet, sowie detaillierte Vorschläge zur deren Behebung. So schaffen Sie mehr Sicherheit. Von Anfang an.
Unsere Verfahren
Je nach Applikation verwenden wir statische oder manuelle Analyseverfahren. Dabei betrachten wir wahlweise einen Teilbereich oder Ihre komplette Applikation. Wir überprüfen die Einhaltung von anerkannten Secure Coding Guidelines und Best Practices. Unsere Verfahren unterstützen PHP, Java, C/C++, Bash, Perl, SQL, JavaScript und Python.
Beim statischen Analyseverfahren werden automatisierte Tools eingesetzt, um Schwachstellen zu identifizieren. Dabei wird der Quellcode der Applikation überprüft, ohne diese auszuführen. Als Ergebnis erhalten Sie den aus dem Analysetool erstellten Bericht.
Rein statische Analysverfahren stoßen an ihre Grenzen, wenn Fehler auf Businesslogik beruhen. An dieser Stelle greift das dynamische Analyseverfahren durch einen unserer Experten. Die auf Tools gestütze manuelle Analyse identifiziert die kritischen Bereiche. Die Durchführung wird, sofern dies möglich ist, während der Ausführung der Applikation vorgenommen. Anschließend findet eine manuelle Überprüfung und Auswertung der gefundenen Schwachstellen durch einen unserer Experten statt.
Unsere Empfehlung
Ein ganzheitlicher Code Review kombiniert die statische und manuelle Analyse. Die Überprüfung der Ergebnisse durch einen Experten ist unabdingbar, um eine reale Einschätzung geben zu können. Wir suchen gezielt nach Fehlern in der Applikations- und Businesslogik, indem wir uns auf die typischen Schwachstellen wie Injection, Directory-Traversal, Buffer Overflow, Privilege Escalation etc. fokussieren. Ebenso analysieren wir die eingesetzten Kryptographiemethoden und überprüfen das Exception-Handling. Fehler in der Anwendung von Kontrollstrukturen lassen sich bei der umfangreichen Prüfung ebenfalls entdecken.
Code Review gemäß PCI DSS
Das PCI Security Standards Council hat eine Anforderung zur Überprüfung festgelegt. Laut PCI DSS v4.0 Requirement 6.2.3 muss mittels einem Code Review ein benutzerdefinierter Code, der von intern und extern erreichbar ist, auf Verwundbarkeiten überprüft werden.
