Security Code Reviews.

Es gibt viele verschiedene Typen von Software-Schwachstellen, welche offiziell dokumentiert sind. Dies sind alles verschiedene Arten, wie Softwareentwickler Fehler machen können, die zu Unsicherheit führen. Jede dieser Schwachstellen ist subtil und viele sind wirklich knifflig – im Sinne von schwer auffindbar. Softwareentwickler werden in ihrer Ausbildung höchstens im Ansatz über diese Schwachstellen aufgeklärt und die meisten werden auch später im Beruf nicht dazu „hinerzogen“.

Die Quellcode-Analyse ist wahrscheinlich die effektivste Technik zur Identifizierung von Sicherheitslücken zu Beginn des Lebenszyklus für neue digitale Produkte. In Verbindung mit automatisierten und manuellen Penetrationtests kann eine solche Codeüberprüfung die Kosteneffizienz einer Gesamt-Überprüfung zu schützenden Software (z.B. Webseite) erheblich steigern.

Warum manuell und nicht (ausschließlich) automatisiert prüfen?

Die manuelle Überprüfung von Programmier-Code bietet Einblick in das „echte Risiko“, das mit unsicherem Code verbunden ist. Ein menschlicher Prüfer kann die Relevanz eines Fehlers oder einer Schwachstelle im Code kontextbezogen erkennen. Der Kontext erfordert ein menschliches Verständnis dessen, was bewertet wird. Mit dem entsprechenden Kontext können wir eine seriöse Risikoeinschätzung vornehmen, die sowohl die Wahrscheinlichkeit eines Angriffs als auch die geschäftlichen Auswirkungen eines potentiellen Hacks berücksichtigt.

Die richtige Kategorisierung von Schwachstellen trägt dazu bei, dass die Behebung priorisiert und die richtigen Dinge behoben werden, anstatt Zeit damit zu verschwenden, alles zu reparieren.

Jede unserer Code-Analysen wird auf Basis der OWASP-Top 10 durchgeführt und berücksichtigt u.a. die folgenden Schwachstellen: