Security Code Review

Een Security Code Review (SCR) is waarschijnlijk de meest effectieve techniek om beveiligingsfouten in uw code te identificeren. Bij gebruik in combinatie met geautomatiseerde tools en handmatige penetratie testen, kan een code review de kosten effectiviteit van een applicatie beveiligingsverificatie aanzienlijk verhogen.
--

OWASP Foundation

Beveiligingskritische applicaties verdienen een handmatige code review!

Als uw bedrijf kritische software ontwikkelt en gebruikt dat zeer vertrouwelijke en/of privacygevoelige informatie verwerkt, dan geeft een beveiligingsonderzoek in de vorm van een handmatige security code review u de beste beveiligingsgarantie.


De kracht van een code review.

Bij het ontwikkelen en bouwen van software worden voortdurend beveiligingsproblemen geïntroduceerd. Veel daarvan kunnen niet worden ontdekt (of zijn moeilijk te ontdekken) zonder eerst de broncode handmatig te onderzoeken. Bovendien is een handmatige security code review veel effectiever voor veel soorten kwetsbaarheden dan automatische kwetsbaarheidsscans en (penetratie)testen. Om een voorbeeld te geven is het testen van kwetsbaarheden met SQL-injecties, via scannen of fuzzen, een zeer slechte keuze als u ook de broncode kunt laten onderzoeken. In dit voorbeeld is een security code review sneller, nauwkeuriger en biedt het u kwalitatief gezien betere aanbevelingen. Met een security code review worden o.a. vragen beantwoord als: Is het ontwerp van de omgeving daadwerkelijk veilig? Doet u het goed? Hoe kunt u de organisatiedoelstellingen ermee verbeteren? Wat is de oorzaak van het probleem en hoe kan het probleem structureel het beste worden opgelost? In onze aanbevelingen worden applicatie- en systeemontwikkelaars naar de juiste onderzochte bestanden en regelnummers in de code verwezen.

Wanneer een code review doen?

Er is geen slecht moment om een security code review te doen! Wij beoordelen applicaties die al jarenlang in productie zijn, de volgende dag naar productie gaan of nog steeds in ontwikkeling zijn. Bij voorkeur wordt een security code review in een zo vroeg mogelijk stadium uitgevoerd, wanneer reparaties nog steeds gemakkelijk kunnen worden toegepast en getest. Een security code review kan gemakkelijk in delen worden uitgevoerd. Een snelle code check tussendoor om te voorkomen dat er sprake is van dramatische problemen in uw ontwerp/code en een eindcontrole voor een volledige built-in security sign-off.

Ontdek vroeg in uw SDLC beveiligingslekken.

Ontdek kwetsbaarheden in de vroege stadia van uw SDLC, terwijl het nog steeds makkelijk en goedkoop is om te repareren. Wacht niet tot de laatste minuut om ze te ontdekken: wie zal kunnen begrijpen waar en hoe veiligheidsbugs dan moeten worden opgelost? Als u in de vroege ontwikkelingsfase bent, helpt u uw team de juiste beslissingen te maken voor de rest van de code die zij moeten schrijven. Een Security Code Review biedt een grote waarde voor ontwikkelingsteams, omdat het zeer gedetailleerde bug / fout beschrijvingen en aanbevelingen biedt - U heeft dit gedaan op regel 251 van file.java, die als volgt kan worden misbruikt ... Wij raden u aan deze code te wijzigen naar... -

Hoe zit het met code scanning tools?

Veel belangrijke beveiligingspunten kunnen alleen door middel van een handmatige code review correct worden geverifieerd. Uit onze ervaring hebben we geleerd dat de meeste hoge/kritieke problemen die we tijdens onze reviews identificeren niet worden ontdekt door middel van statische code analyse (SCA) middelen. Deze omvatten vaak logische gebreken, zoals ontbrekende of gebroken autorisatiecontroles of problemen die te applicatiespecifiek zijn om door de SCA te worden gevonden. Een handmatige code review laat de interne architectuur, context en datastromen zien van de applicatie die nodig zijn om dergelijke problemen vast te stellen.

Wanneer een SCA goed afgesteld is op uw specifieke applicatie omgeving (technologieën, architectuur, valkuilen), kan het een geweldig schaalbaar middel zijn voor het oppikken van simpele fouten en schending van voor gedefinieerde patronen. Dit vult uw handmatige code review aan en versnelt deze.

Betaalbaarder dan u denkt.

Een security code review gaat niet over het beoordelen van de volledige codebase regel voor regel. In het algemeen is minder dan twintig procent van een code-base relevant voor de beveiliging. We hebben duizenden applicaties bekeken en hebben een enorme hoeveelheid van zowel slechte en geweldige code gezien. Met deze ervaring herkennen we snel dingen en weten precies wat we zoeken. Door onze gestructureerde aanpak te volgen en onze inspanningen voor de gestelde beveiligingsdoelstellingen en tijdsbeperking te optimaliseren, kan een code review verrassend efficiënt en betaalbaar zijn. Het zal zeker de beste toegevoegde waarde voor de beveiligingsverificatie van uw applicatie investering hebben!

Een Security Code Review (SCR) is waarschijnlijk de meest effectieve techniek om beveiligingsfouten in uw code te identificeren.

Onze werkwijze

  • 1

    Intake

    Tijdens de intake (kosteloos) discussiëren we uw project en vertellen we u meer over ons en onze modus operandi. Het hoofddoel is om alle benodigde informatie te verzamelen, zodat we ons voorstel kunnen maken (plan van aanpak).

  • 2

    Aanbod

    U ontvangt ons voorstel met een gedetailleerd overzicht van de activiteiten, deliverables, planning en kosten.

  • 3

    Voorbereiding

    Wanneer het voorstel is geaccepteerd, leveren we een lijst met alle punten die voorbereid moeten worden voor de test activiteiten.

  • 4

    Uitvoerende activiteiten

    De geplande security testactiviteiten worden uitgevoerd in het afgesproken tijdvenster. Gedurende de testen worden er frequent updates van de bevindingen en progressie gedeeld.

  • 5

    Findings meeting

    Wanneer alle testactiviteiten zijn uitgevoerd, zal er een bevindingen meeting worden gepland om de bevindingen uit te leggen, demonstreren en deze te discussiëren, samen met de impact en oplossingen.

  • 6

    Eindrapport

    De resultaten van het assessment worden in detail gerapporteerd. Elke finding bestaat uit een beschrijving van het risico, instructies hoe de finding gereproduceerd en geverifieerd kan worden en een aanbeveling hoe de finding kan worden opgelost of hoe het risico kan worden beperkt.

Bespreek uw project met ons. →