>>

Code Review

Wat is een code review?

Een code audit is gericht op het veiliger maken van de software die in je organisatie wordt gebruikt. Tijdens deze review worden de broncode en de configuratie van de bijbehorende infrastructuur tot in detail bekeken en worden kwetsbaarheden en risico's in kaart gebracht.

Broncode onderzoeken op fouten vraagt een andere set vaardigheden dan het uitvoeren van security tests. Vandaar dat onze hackers als deel van hun opleidingstraject leren programmeren, en deze vaardigheden uitbreiden door werkzaam te blijven in verschillende programmeertalen en -frameworks. Het combineren van deze vaardigheden met hun security-kennis maakt hen tot zeer capabele code auditors.

Zwaar geschut: de code audit

Een code review is een time-boxed activiteit: binnen de afgesproken tijd worden zoveel mogelijk waardevolle feedback op de security van de onderzochte code base gegeven. Wanneer echter een grondiger antwoord nodig is, voeren we een Code Audit uit. Tijdens een dergelijke audit worden alle regels code uitputtend onderzocht op alle bekende typen kwetsbaarheden.

Wat doen we bij een code review?

  • Diepgaand onderzoek voor meer zekerheid
  • Bijsturen van software-ontwikkeling op basis van security-feedback
  • Feedback op architectuur- en ontwerpkeuzes
  • Educatie van ontwikkelaars door adviezen op code-niveau
  • In te zetten als periodieke thermometer-check

Bij een code review voeren we een handmatige controle uit waarbij we de code en configuratie regel voor regel onderzoeken op kwetsbaarheden. Wanneer we een mogelijk kwetsbaar onderdeel tegenkomen, valideren we deze bevinding op een testomgeving. Na deze eerste analyse onderzoeken we het item verder om te bepalen of het om een structureel probleem gaat. Bij een code audit is het belangrijk om gestructureerd te testen en rapporteren, daarom maken we hierbij gebruik van speciaal ontwikkelde checklists.

Wat krijg je na een code review?

De code review vindt plaats aan de hand van een checklist van mogelijke soorten kwetsbaarheden. Tijdens een code audit zorgt de security consultant ervoor dat hij al deze typen kwetsbaarheden nagaat in de gehele code base, zodat hij in het rapport op elk item inhoudelijk commentaar kan geven. Bij een review hangen de bevindingen af van de afgesproken beschikbare tijd. Na afloop van de review of audit wordt het rapport besproken met de ontwikkelaars, zodat zij alle informatie hebben die ze nodig hebben om de security-kwaliteit van de code base te verhogen.