Was ist ein Code Review?

Bei einem Code Review wird der Quelltext einer Anwendung manuell überprüft. Damit sind Code Reviews ein wichtiger Baustein in der Qualitätssicherung.

Code Reviews lassen sich gut mit statischen Code-Analysen kombinieren, um ein breites Feld an möglichen Fehlern abzudecken.

Wir unterstützen Sie daher auch gerne bei der Integration von automatisierten Code-Scannern und weiteren Tools in Ihre CI-Pipeline oder helfen Ihrem Team, einen Peer-Review Prozess aufzubauen.

Warum ist ein Code Review sinnvoll?

Dadurch, dass der gesamte Quelltext zur Verfügung steht, können beim Code Review Probleme, die bei einem Penetrationstest oder einer Schwachstellenanalyse unter Umständen nur schwer zu erkennen sind, zuverlässig identifiziert werden.

Durch unsere Erfahrung sind wir in der Lage, sicherheitskritische Probleme zu identifizieren und für Ihre Entwickler verständlich zu erklären.

Hierdurch wird es Ihrem Team ermöglicht, Probleme frühzeitig zu erkennen und die Code-Qualität nachhaltig zu erhöhen.

Weiterhin sind Code Reviews durch einen externen Dienstleister eine wichtige Compliance-Anforderung, während kontinuierliche Peer-Reviews ein guter Weg sind, die Anwendungsqualität insgesamt zu erhöhen.

Warum ist ein Code Review sinnvoll?

Ablauf eines Code Reviews

Kickoff
Nach einer Einführung in die Anwendung vereinbaren wir gemeinsam den zu betrachtenden Quelltext.
Übergabe Source Code
Sie stellen uns den Quelltext zur Verfügung.
Source Code Analyse
Unsere Berater führen den Review des bereitgestellten Quelltexts durch und dokumentieren die Code-Stellen, die Sicherheitsrisiken darstellen können.
Berichterstattung
Wir erstellen einen Bericht, in dem Auffälligkeiten und Probleme verständlich beschrieben und mögliche Lösungsvorschläge präsentiert werden.

Nachbereitung und Abschluss

Im Anschluss an einen Code Review bekommen Sie einen detaillierten Bericht mit den identifizierten Problemen und Erläuterungen zu deren Hintergründen. Falls Sie anschließend offene Fragen zum Bericht oder einzelnen Befunden haben, erklären wir unsere Erkenntnisse sehr gerne im Rahmen einer Ergebnisbesprechung.

Wir können Ihnen auch gerne beim Aufbau einer CI-Pipeline helfen, die den Quelltext mit automatisierten Code-Scannern scannt und so bereits im Entwicklungsprozess eine Vielzahl von Schwachstellen eliminiert.

Was braucht Lutra für einen Code Review?

Zur Durchführung eines Code Reviews benötigen wir lediglich den Source Code sowie eine kurze Einführung.

Können wir automatisierte Code-Analyse auch bei uns verwenden?

Ja, und das ist auch eine sehr gute Idee! Wir helfen Ihnen gerne bei der Einrichtung einer CI-Pipeline und stehen bei Fragen jederzeit zur Verfügung.

Können automatisierte Code-Analysen Code Reviews ersetzen?

Nein, denn automatisierte Code-Analysen und Code Reviews bedienen unterschiedliche Bereiche.

Code Reviews sind hervorragend geeignet, um Probleme in der Anwendungslogik und -architektur aufzudecken.

Automatisierte Code-Analysen hingegen helfen, Inkonsistenzen und wiederkehrende Probleme im Code zu identifizieren und so die Wartbarkeit und Code-Qualität zu verbessern.

Beide Herangehensweisen ergänzen sich daher sehr gut und sollten in Kombination angewendet werden.

Für welche Sprachen bietet Lutra Code Reviews an?

Wir bieten manuelle Code Reviews für gängige Sprachen wie Java, JavaScript, PHP, Python, Rust etc. an.

Falls Ihre Programmiersprache hier nicht explizit aufgeführt wurde, zögern Sie trotzdem nicht, uns eine kurze Mail an hello@lutrasecurity.com zu senden. Die Liste ist nicht erschöpfend gemeint.

Wir finden Schwachstellen, so finden Sie uns!

Wir haben Ihr Interesse geweckt? Sie haben noch Fragen? Rufen Sie uns an, schreiben Sie uns eine Mail, oder vereinbaren Sie direkt und unkompliziert ein unverbindliches Erstgespräch mit einem unserer Berater: