Een secure code review

Jan 12, 2019 - 3 minuten leestijd
Het voelt tijdens het schrijven van deze blog dat een code review een ondergeschoven kindje is ten op zichten van een penetratie test. De afgelopen jaren is het elke week wel raak geweest met nieuwe datalekken van bedrijven. Hierdoor is er meer aandacht voor het voorkomen van dit soort lekken en dan komen penetratie testen het meest overeen met de werkwijze van hackers of onderzoekers. Het lijkt dus meer te liggen aan de status en context van een applicatie of er een penetratietest (pentest) of secure code review wordt uitgevoerd. 
Een pentest en een secure code review sluiten elkaar niet uit. In de praktijk worden deze naast elkaar gebruikt. De ideale situatie is om tijdens het ontwikkelproces een secure code review te laten uitvoeren en wanneer de applicatie live staat een pentest. Een extra maatregel kan zijn om een korte pentest uit te voeren op de test omgeving voordat een applicatie naar de productieomgeving gaat.

Wat is een secure code review

Zo wordt het ook wel genoemd “een kijkje onder de motorkap nemen”. Tijdens een secure code review wordt een code base beoordeelt op de toepassing van beveiliging. De code base geeft direct inzicht in de werking en logica van een applicatie. De applicatie draait op een omgeving en de context hiervan is uitermate belangrijk om de code te kunnen beoordelen. De uitkomst van secure code review is een overzicht met bevindingen die een risico classificatie bevatten. Deze classificatie hangt nauw samen met de context van de applicatie.

Automatische of handmatige review

Er zijn diverse aanpakken mogelijk voor het uitvoeren van een dergelijke review.  De drie beschikbare opties zijn een handmatige review, een geautomatiseerde review en een combinatie hiervan. Bij een geautomatiseerde review wordt er gebruik gemaakt van Static Code Analysis die in een vrij korte tijd de bevindingen opmaakt. Een dergelijke tool zal, uit onderzoek, 70% van de kwetsbaarheden tonen. Een handmatige review geeft 30% meer resultaat en maakt tijdens het proces gebruik van verschillende analyse software. Uit onderzoek blijkt dat er tijdens handmatige secure code review, meer kwetsbaarheden gevonden worden. Ook is de CVSS score (impact) van de bevindingen gemiddeld hoger is dan die van een Static Code Analysis tool. Dit is vrij voor de hand liggend, aangezien een mens in staat is om verschillende kwetsbaarheden te combineren tot een geavanceerdere kwetsbaarheid.

Het doel

Verschillende aanleidingen kunnen er voor zorgen om een secure code review uit te laten voeren door een professional. Het doel is overigens altijd hetzelfde: de kwetsbaarheden van een applicatie in kaart te brengen en de business risico / impact te bepalen. Hierdoor kan er door de business aangestuurd worden op het voldoen aan de vooraf gestelde security criteria.

Laat LOUS onder de motorkap kijken

Door jaren ervaring met verschillende type applicaties en de talen hiervan, biedt LOUS een secure code review dienst aan. Deze worden altijd op maat uitgevoerd en het liefst direct geschakeld met de ontwikkelaars om deze te ondersteunen met het mitigeren van de risico’s. Want het ontdekken van de kwetsbaarheden is de eerste stap, maar de stappen die daarop volgen kunnen uitdagend zijn en vragen met zich mee brengen.

LOUS kijkt er naar uit om uw applicaties naar een hoger security niveau te brengen!

total-donations-plugin-kwetsbaar

Total Donations plug-in kwetsbaar (CVE-2019-6703)

Total Donations plugin kwetsbaar (CVE-2019-6703) Jan 27, 2019 – 3 minuten leestijd Door het Wordfence team zijn op 25 januari verschillende kritieke kwetsbaarheden gevonden in een betaalde WordPress plugin. Het gaat om
Artikel lezen
SSDLC

Een blik werpen op SSDLC

Een blik werpen op SSDLC Jan 25, 2019 – 4 minuten leestijd SSDLC – Het ontwikkelen van applicaties gaat steeds sneller en in een kortere cyclus. Dit heeft vooral te
Artikel lezen