Sichern Sie sich Ihren Vorsprung
Prüfen Sie die Sicherheit Ihrer Anwendungen in einer frühen Phase der Entwicklung.
mehr zu unserem Leistungsspektrum im Bereich IT-SicherheitSecure Code Review
Einleitung
Ein Grundsatz der Qualititätssicherung ist, dass Qualität nicht im nachhinein in ein Produkt “hineingeprüft” werden kann, sondern während der Erstellung des Produktes erzeugt wird. Genauso verhält es sich mit der Sicherheit als ein bestimmtes – und wichtiges – Qualitätsmerkmal. Durch ein Secure Code Review werden Schwächen in der Anwendung identifiziert und es findet eine Analyse der Ursachen statt. Die Analyse bezieht sich auch auf Funktionalitäten, die über die Anwendung nicht direkt zugänglich sind. Das System wird somit gründlich “auf Herz und Nieren” geprüft.
Im “Katz und Maus” Spiel mit potentiellen Angreifer:innen geht es darum, die eigene Position zu stärken und zu sichern. Mit unserem Angebot “Secure Code Review” unterstützen wir Sie dabei.
Kooperative Vorgehensweise
Mit Secure Code Reviews können Sie die Sicherheit Ihrer Anwendungen in einer frühen Phase der Entwicklung überprüfen und verbessern. In Zusammenarbeit mit Ihren Entwickler:innen prüfen unsere Sicherheitsexpert:innen den Code und identifizieren Risiken und Schwachstellen. Direkt im Anschluss können diese Stellen abgesichert werden. Wird die Methode konsequent angewendet, werden Ihre Entwickler:innen ihr Wissen und ihre Erfahrung erweitern und bei zukünftigen Entwicklungen das Thema Sicherheit immer besser berücksichtigen. Dadurch wirken die Secure Code Reviews nachhaltig über die einzelnen Prüfungen und Befundlisten hinaus.
Generell bieten wir bei der viadee maßgeschneiderte Dienstleistungen an und das gilt insbesonders auch für die Leistung Secure Code Review. Das gewünschte Sicherheitsniveau ist von verschiedenen Faktoren abhängig und eine Online-Anwendung zur Zahlungsverarbeitung wird ein anderes Schutzniveau brauchen als ein internes Tool um Marketingaktionen zu planen und auszuwerten.
Ansprechperson
Dr. Tobias Heide
Tel: +49 251 777770
Methodik
Unser Vorgehen haben wir in verschiedenen Kundenprojekten sowie in internen Projekten erprobt und verbessert. Im OWASP “Code Review Guide” – aktuell in der Version 2.0 – haben wir eine gute Ausgangsbasis gefunden. Das Vorgehen bei einem Secure Code Review ist vergleichbar mit der Vorgehensweise für ein klassisches Code-Review. Der wesentliche Unterschied ist, dass die Berater:innen bei einem Secure Code Review ihre Erfahrung zu Bedrohungen und Sicherheitslücken mitbringen und immer wieder die Perspektive eine:r Angreifer:in einnehmen.
-
Überblick verschaffen
Im ersten Schritt führen wir Interviews mit ihren Entwickler:innen und Softwarearchitekt:innen, um ein Grundverständnis über die Anwendung und die Konzepte zur Authentifizierung, Autorisierung und Validierung zu erhalten.
-
Statische Code-Analyse
Im nächsten Schritt liefern maschinelle Scans Hinweise zu möglichen Schwachstellen der Anwendung.
-
Überprüfung und Bewertung
Anschließend werden diese Befunde manuell überprüft und bewertet. Manche Befunde werden bestätigt, manche als nicht zutreffend klassifiziert und wieder andere aufgrund der Auswirkung und Eintrittswahrscheinlichkeit neu bewertet.
-
Kritische Stellen prüfen
Im vierten Schritt bringen unsere Expert:innen ihre technische und fachliche Erfahrung ein und überprüfen gezielt kritische Stellen, wie beispielsweise Authentifizierung und Autorisierung, Schnittstellen zu Nachbarsystemen oder Validierung von Nutzereingaben.
-
Prozessbetrachtung
Zusätzlich berücksichtigen wir den Entwicklungs- und Buildprozess und vor allem die Aktualisierung aller verwendeten Tools und Bibliotheken.
Mit diesem Vorgehen erreichen Sie eine effektive und wirtschaftlich sinnvolle Prüfung für betriebswirtschaftliche Software.
Secure Code Reviews im SDL (Security Development Lifecycle)
Der Secure Code Review ist kein Ersatz für andere Maßnahmen wie Pentests, sondern eine sinnvolle Ergänzung dazu. Pentests werden auf jeden Fall weiterhin benötigt, u.a. um eventuelle Lücken in der Anwendung in Zusammenspiel mit der Infrastruktur der Produktivumgebung (u.a. Server, Netzwerk, Betriebssystem, DBMS, Schnittstellen zu Nachbarsystemen etc.) ausfzudecken.
Im Code Review Guide der OWASP ist detailliert beschrieben, wie wirksam die Maßnahmen in den Kategorien “maschinelle Statische Code Analyse”, “automatisierte Pentests”, “manuelle Pentests” und “manuelle Code Reviews” sind, um einzelne Schwachstellen aufzudecken. Die Übersichten zeigen, dass alle vier Kategorien ihre Stärken haben und erst in Kombination eine wirklich gute Abdeckung ergeben. Beispielsweise lässt sich eine SQL injection Lücke wirkungsvoll mit einer maschinellen Suche nach SQL Keywords und Stringoperationen im Code aufspüren. Bei der Suche nach fachlichen Lücken (“business flaws“) ist ein Mensch mit Verständnis der Fachlichkeit und Funktionalität der Anwendung im Vergleich zu einer maschinellen Suche viel effektiver. Beispielsweise wurde bei einem Review festgestellt, dass Bestellungen mit negativen Mengen möglich waren, die somit die Gesamtsumme der Bestellung reduziert haben.
Wenn der Secure Code Review sorgfältig durchgeführt wurde und die priorisierten Befunde bearbeitet wurden, können Sie beim Pentest in Bezug auf die Anwendung nur wenige und vor allem wenig gravierende Befunde erwarten.
Nutzen
- Verringern Sie die Verwundbarkeit Ihrer IT. Secure Code Reviews helfen Ihnen, sowohl die Eintrittswahrscheinlichkeit als auch den Schaden von Angriffen auf Ihre Systeme zu verringern.
- Profitieren Sie von der Erfahrung unserer Expert:innen, die sowohl ihre methodische Kenntnisse als auch ihr technisches Wissen und ein Verständnis der Fachlichkeit in das Review mit einbringen.
- Steigern Sie das Vertrauen in die neue Anwendung mit guten Ergebnissen aus dem Pentest. Ein Pentest ist weiterhin sehr empfehlenswert und wird in Bezug auf die Anwendung das erreichte Sicherheitsniveau bestätigen.
- Starten Sie Ihre Tests früh im Entwicklungsprozess. Im Code Review Guide schreibt OWASP dazu “Secure code review is probably the single-most effective technique for identifying security bugs early in the system development lifecycle“. Somit haben Sie noch genug Zeit, um Korrekturen umzusetzen und interne Prozesse zu verbessern.
- Sie erzielen einen langfristigen Nutzen, da mit den Secure Code Reviews sowohl das Sicherheitsbewusstsein als auch das Wissen und die Erfahrung zum Thema IT-Sicherheit bei Ihren Entwickler:innen gestärkt wird. Dieser Nutzen wirkt über die Projektdauer hinaus.
Links zu weiteren Themen
IT-Sicherheit ist ein Qualitätsaspekt Ihrer Systeme. Zu weiteren Qualitätsthemen empfehlen wir folgende Seiten:
Unser Fokus
Secure Code Reviews brauchen den Einsatz von Expert:innen. Um diesen Anspruch gerecht zu werden, legen wir den Fokus primär auf unser Kerngeschäft:
- Individuelle Software-Lösungen, je nach Bedarf als eigenständige Anwendung oder als Erweiterung zu bestehenden Systemen
- in unseren Schwerpunktbranchen Banken, Versicherungen, Finanzdienstleister allgemein, Handel, Telekommunikation, Energieversorgung und öffentliche Verwaltung
- auf der technologischen Basis von Java, Javascript, Typescript inklusive der gängigen Frameworks sowie Tools