Secure-Code-Review

Wir schauen genau hin

Der Secure-Code-Review (Quellcodeanalyse unter Sicherheitsaspekten) ist die manuelle oder teilautomatisierte Überprüfung des Quellcodes einer Anwendung auf sicherheitsrelevante Mängel bzw. Verwundbarkeiten. Nicht immer ist das vereinbarte Ziel die Identifikation aller konkreten Ausprägungen einer Verwundbarkeit im Quellcode, sondern es wird eine möglichst breite Übersicht über die im Quellcode vorhandenen Verwundbarkeitsklassen bzw. Arten von Sicherheitsmängeln gewünscht. Ziel ist es, den Entwicklern Informationen an die Hand zu geben, die ihnen helfen, den Quellcode der Anwendung dauerhaft robuster und sicherer zu machen.

Der Secure-Code-Review ist wichtiger Bestandteil des Secure-Software-Development-Lifecycle (SSDL). Die Umsetzung innerhalb des SSDL gelingt den im BSIMM befragten Softwareentwicklungsorganisationen mit der Durchführung folgender Praktiken:

  • Ad-Hoc-Review durch Sicherheitsexperten (durchgeführt von 65,6% der Befragten)

  • Verwendung automatisierter Tools zusammen mit manueller Überprüfung (durchgeführt von 69,7% der Befragten)

  • Verpflichtende Codeüberprüfung für alle Sofwareprojekte (durchgeführt von 36,1% der Befragten)

  • Zentralisiertes Reporting als Wissenspool (durchgeführt von 36,1% der Befragten)

Erfahrene Organisationen bedienen sich weiterer Praktiken, darunter der Einsatz von Mentoren oder die Entwicklung maßgeschneiderter Erkennungsregeln für die eingesetzten Tools.

Unsere Expertise

Wir begleiten die sichere Softwareentwicklung unserer Kunden in allen Phasen und haben dabei die Erfahrung gemacht, dass ein entwicklungsbegleitender Secure-Code-Review die korrekte Umsetzung der Sicherheitsanforderungen fördert und darüber die Kosten nachträglicher Mangelbeseitigung vermeidet).

Neben der Durchführung eines Secure-Code-Reviews unterstützen wir auch bei der Einführung der relevanten Praktiken und stehen darüber hinaus beratend zur Verfügung.

Die Erfahrung unserer Sicherheitsanalysten aus dem Whitebox-Pentesting bildet die Grundlage für das schnelle Erfassen einer komplexen Codebasis und die fokussierte Betrachtung verwundbarer Komponenten.

Unsere Vorgehensweise

Unabhängig davon, ob Sie die Durchführung eines Secure-Code-Reviews beauftragen oder Unterstützung bei der Einführung der damit verbundenen Praktiken in Ihrer Organisation suchen, begleiten wir sie bedarfsgerecht in folgenden Schritten:

  1. Bedarfsanalyse: Art und Umfang der Unterstützung werden gemäß Ihrer Sicherheitsziele und Vorgaben festgelegt.
  2. Informationsaustausch: Wir ermitteln alle notwendigen Informationen über den Prüfgegenstand oder Ihre Softwareentwicklungsorganisation.

Die weiteren Schritte im Secure-Code-Review sind üblicherweise:

  1. Durchführung des Secure-Code-Reviews: Manuelle und toolgestützte Codeanalyse deckt Verwundbarkeiten auf, die von uns bewertet werden.
  2. Auswertung und Dokumentation des Secure-Code-Reviews: Die risikobewerteten Befunde sowie die vorgeschlagenen Maßnahmen werden in einem Ergebnisbericht dokumentiert. Eine Präsentation mit Erläuterung der Ergebnisse und Beantwortung von Rückfragen auch nach Abschluss des Reviews ist für uns selbstverständlich.

Ihre Ansprechpartner

Sven Faßbender

Geschäftsführer, Berater für Informationssicherheit

Martin Tschirsich

Geschäftsführer, Berater für Informationssicherheit