Es gibt viele verschiedene Typen von Software-Schwachstellen, welche offiziell dokumentiert sind. Dies sind alles verschiedene Arten, wie Softwareentwickler Fehler machen können, die zu Unsicherheit führen. Jede dieser Schwachstellen ist subtil und viele sind wirklich knifflig – im Sinne von schwer auffindbar. Softwareentwickler werden in ihrer Ausbildung höchstens im Ansatz über diese Schwachstellen aufgeklärt und die meisten werden auch später im Beruf nicht dazu „hinerzogen“.
Security Code Reviews.
Die Quellcode-Analyse ist wahrscheinlich die effektivste Technik zur Identifizierung von Sicherheitslücken zu Beginn des Lebenszyklus für neue digitale Produkte. In Verbindung mit automatisierten und manuellen Penetrationtests kann eine solche Codeüberprüfung die Kosteneffizienz einer Gesamt-Überprüfung zu schützenden Software (z.B. Webseite) erheblich steigern.
Warum manuell und nicht (ausschließlich) automatisiert prüfen?
Die manuelle Überprüfung von Programmier-Code bietet Einblick in das „echte Risiko“, das mit unsicherem Code verbunden ist. Ein menschlicher Prüfer kann die Relevanz eines Fehlers oder einer Schwachstelle im Code kontextbezogen erkennen. Der Kontext erfordert ein menschliches Verständnis dessen, was bewertet wird. Mit dem entsprechenden Kontext können wir eine seriöse Risikoeinschätzung vornehmen, die sowohl die Wahrscheinlichkeit eines Angriffs als auch die geschäftlichen Auswirkungen eines potentiellen Hacks berücksichtigt.
Die richtige Kategorisierung von Schwachstellen trägt dazu bei, dass die Behebung priorisiert und die richtigen Dinge behoben werden, anstatt Zeit damit zu verschwenden, alles zu reparieren.
Jede unserer Code-Analysen wird auf Basis der OWASP-Top 10 durchgeführt und berücksichtigt u.a. die folgenden Schwachstellen:
- XSS
- SQL Injection
- Session Hijacking
- Authentication (bestätigt bestimmte Nutzer)
- Authorization (berechtigte Nutzer)
- Logging
- Information Leakage
Wie lange dauert eine Quellcode-Analyse und was kostet sie?
Unverbindliche Anfrage.
Think ahead. Be secure.
Du hast spezielle Fragen rund um das Thema Cyber-Sicherheit? Dann melde dich zu einem kostenlosen Erstgespräch an.
mindsetters GmbH
Urstein Süd 15
A-5412 Puch bei Hallein