
Een secure code review

Wat is een secure code review
Zo wordt het ook wel genoemd “een kijkje onder de motorkap nemen”. Tijdens een secure code review wordt een code base beoordeelt op de toepassing van beveiliging. De code base geeft direct inzicht in de werking en logica van een applicatie. De applicatie draait op een omgeving en de context hiervan is uitermate belangrijk om de code te kunnen beoordelen. De uitkomst van secure code review is een overzicht met bevindingen die een risico classificatie bevatten. Deze classificatie hangt nauw samen met de context van de applicatie.
Automatische of handmatige review
Er zijn diverse aanpakken mogelijk voor het uitvoeren van een dergelijke review. De drie beschikbare opties zijn een handmatige review, een geautomatiseerde review en een combinatie hiervan. Bij een geautomatiseerde review wordt er gebruik gemaakt van Static Code Analysis die in een vrij korte tijd de bevindingen opmaakt. Een dergelijke tool zal, uit onderzoek, 70% van de kwetsbaarheden tonen. Een handmatige review geeft 30% meer resultaat en maakt tijdens het proces gebruik van verschillende analyse software. Uit onderzoek blijkt dat er tijdens handmatige secure code review, meer kwetsbaarheden gevonden worden. Ook is de CVSS score (impact) van de bevindingen gemiddeld hoger is dan die van een Static Code Analysis tool. Dit is vrij voor de hand liggend, aangezien een mens in staat is om verschillende kwetsbaarheden te combineren tot een geavanceerdere kwetsbaarheid.
Het doel
Verschillende aanleidingen kunnen er voor zorgen om een secure code review uit te laten voeren door een professional. Het doel is overigens altijd hetzelfde: de kwetsbaarheden van een applicatie in kaart te brengen en de business risico / impact te bepalen. Hierdoor kan er door de business aangestuurd worden op het voldoen aan de vooraf gestelde security criteria.
Laat LOUS onder de motorkap kijken
Door jaren ervaring met verschillende type applicaties en de talen hiervan, biedt LOUS een secure code review dienst aan. Deze worden altijd op maat uitgevoerd en het liefst direct geschakeld met de ontwikkelaars om deze te ondersteunen met het mitigeren van de risico’s. Want het ontdekken van de kwetsbaarheden is de eerste stap, maar de stappen die daarop volgen kunnen uitdagend zijn en vragen met zich mee brengen.
LOUS kijkt er naar uit om uw applicaties naar een hoger security niveau te brengen!