Przegląd kodu

Secure Code Review

Bezpieczeństwo aplikacji zapisane jest w jej kodzie i wykorzystanych komponentach. Źle skonstruowana instrukcja warunkowa w jednej linijce może doprowadzić do stworzenia poważnych błędów. Błędów bezpieczeństwa, które otwierają atakującym dostęp do przetwarzanych danych. Błędów logicznych których nie zgłosi kompilator.

Przeglądu kodu wykonujemy kompleksowo, zawierając w usłudze również analizę statyczną kodu. Konsultant poznając architekture i logikę aplikacji wykonuje w pierwszej kolejności manualny przegląd kodu. Wykorzystujemy również dedykowane narzędzia automatyczne do analizy statycznej kodu. Ich dobór w dużej mierze zależy od technologi użytej w aplikacji.

Przegląd kodu ma za zadanie wyeliminowanie potencjalnie niebezpiecznych zapisów kodu, które mogą okazać się podatnością. Identyfikacja błędów we wczesnych fazach produktu w oparciu o Secure Software Development Lifecycle przynosi największe korzyści. Poważne incydenty i krytyczne zmiany na produkcji wiążą się z wysokimi i nieprzewidzianymi kosztami. Analiza statyczna kodu jest również zawarta w ramach testu penetracyjnego przeprowadzonego w podejściu White Box. Metoda White Box to najbardziej szczegółowy test, gdzie testując aplikację możemy zajrzeć w zachowanie aplikacji w kodzie i na bieżąco ją debugować.