Secure Code Review

Was ist ein Code Review?

Bei einem Code Review wird der Quelltext einer Anwendung manuell überprüft. Damit sind Code Reviews ein wichtiger Baustein in der Qualitätssicherung.

Code Reviews lassen sich gut mit statischen Code-Analysen kombinieren, um ein breites Feld an möglichen Fehlern abzudecken.

Wir unterstützen Sie daher auch gerne bei der Integration von automatisierten Code-Scannern und weiteren Tools in Ihre CI-Pipeline oder helfen Ihrem Team, einen Peer-Review Prozess aufzubauen.

Was ist ein Code Review?
Warum ist ein Code Review sinnvoll?

Dadurch, dass der gesamte Quelltext zur Verfügung steht, können beim Code Review Probleme, die bei einem Penetrationstest oder einer Schwachstellenanalyse unter Umständen nur schwer zu erkennen sind, zuverlässig identifiziert werden.

Durch unsere Erfahrung sind wir in der Lage, sicherheitskritische Probleme zu identifizieren und für Ihre Entwickler verständlich zu erklären.

Hierdurch wird es Ihrem Team ermöglicht, Probleme frühzeitig zu erkennen und die Code-Qualität nachhaltig zu erhöhen.

Weiterhin sind Code Reviews durch einen externen Dienstleister eine wichtige Compliance-Anforderung, während kontinuierliche Peer-Reviews ein guter Weg sind, die Anwendungsqualität insgesamt zu erhöhen.

Warum ist ein Code Review sinnvoll?

Ablauf eines Code Reviews

  • Kickoff

    Nach einer Einführung in die Anwendung vereinbaren wir gemeinsam den zu betrachtenden Quelltext.

  • Übergabe Source Code

    Sie stellen uns den Quelltext zur Verfügung.

  • Source Code Analyse

    Unsere Berater führen den Review des bereitgestellten Quelltexts durch und dokumentieren die Code-Stellen, die Sicherheitsrisiken darstellen können.

  • Berichterstattung

    Wir erstellen einen Bericht, in dem Auffälligkeiten und Probleme verständlich beschrieben und mögliche Lösungsvorschläge präsentiert werden.

Nachbereitung und Abschluss

Im Anschluss an einen Code Review bekommen Sie einen detaillierten Bericht mit den identifizierten Problemen und Erläuterungen zu deren Hintergründen. Falls Sie anschließend offene Fragen zum Bericht oder einzelnen Befunden haben, erklären wir unsere Erkenntnisse sehr gerne im Rahmen einer Ergebnisbesprechung.

Wir können Ihnen auch gerne beim Aufbau einer CI-Pipeline helfen, die den Quelltext mit automatisierten Code-Scannern scannt und so bereits im Entwicklungsprozess eine Vielzahl von Schwachstellen eliminiert.

Zur Durchführung eines Code Reviews benötigen wir lediglich den Source Code sowie eine kurze Einführung.

Ja, und das ist auch eine sehr gute Idee! Wir helfen Ihnen gerne bei der Einrichtung einer CI-Pipeline und stehen bei Fragen jederzeit zur Verfügung.

Nein, denn automatisierte Code-Analysen und Code Reviews bedienen unterschiedliche Bereiche.

Code Reviews sind hervorragend geeignet, um Probleme in der Anwendungslogik und -architektur aufzudecken.

Automatisierte Code-Analysen hingegen helfen, Inkonsistenzen und wiederkehrende Probleme im Code zu identifizieren und so die Wartbarkeit und Code-Qualität zu verbessern.

Beide Herangehensweisen ergänzen sich daher sehr gut und sollten in Kombination angewendet werden.

Wir bieten manuelle Code Reviews für gängige Sprachen wie Java, JavaScript, PHP, Python, Rust etc. an.

Falls Ihre Programmiersprache hier nicht explizit aufgeführt wurde, zögern Sie trotzdem nicht, uns eine kurze Mail an [email protected] zu senden. Die Liste ist nicht erschöpfend gemeint.

Wir finden Schwachstellen, so finden Sie uns!

Wir haben Ihr Interesse geweckt? Sie haben noch Fragen? Rufen Sie uns an, schreiben Sie uns eine Mail, oder vereinbaren Sie direkt und unkompliziert ein unverbindliches Erstgespräch mit einem unserer Berater:

Newsletter

Sie wollen auf dem Laufenden bleiben? Abonnieren Sie unseren Newsletter: