Schwachstellen an der Quelle finden

Vorbeugender Schutz mittels Code-Analyse

Ein Security „Code-Review“ oder „Code-Analyse“ deckt Sicherheitslücken schon an deren Quelle auf indem es Ihren Code – das Fundament ihrer Anwendung – einem gründlichen, kontrollierten Test unterzieht. Somit sind Sie vollständig über den Sicherheitsstatus Ihres Codes informiert. OPTIMAbit ermöglicht Ihnen kosteneffektive Reviews, als Einzelausführung oder als Managed Service.

Umfang und Art einer Code Analyse

Sie wollen ein Code-Review durchführen, sind aber von den Kosten, der Komplexität und der schwierigen Organisation abgeschreckt? OPTIMAbit, ein Marktführer bei der Analyse von Code-Qualität, ermöglicht Code-Reviews, die mit einem Minimum an organisatorischem Aufwand zu jedem Zeitpunkt des Produktlebenszyklus durchgeführt werden können.
Bei einem Code-Review prüfen wir alle Teile des Codes, die zu Sicherheitslücken führen können. Dies beinhaltet unter anderem die Konfiguration, das Logging, das Exception-Handling, das Session-Management, die Kryptografie, die Threads und Synchronisation, die Authentifizierungs- und Autorisierungsmechanismen, die Validierungssysteme, die Struktur der aktiven Inhalt und vieles mehr. Kurz gesagt erhalten Sie mit unserem Code-Review ein komplettes Sicherheitsprofil der getesteten Anwendung.

Vorgehensweise und Organisation

Bei der Durchführung eines Code-Reviews verfolgen wir eine Top-down-Vorgehensweise. Ausgehend vom Anwendungsdesign bis tief in die Implementierung analysieren wir potenzielle Ursachen für Sicherheitsprobleme wie Validierung, Frameworks und Designpatterns.
Wir unterstützen unseren Review durch zahlreiche Tools, die entsprechend der für Ihre Anwendung verwendeten Programmiersprache und -plattform ausgewählt werden. Unsere Experten haben nicht nur Erfahrung in J2EE und .NET, sondern auch in Sprachen wie C, C++, Swift und PHP.
Nur qualifizierte Experten mit einem breitgefächerten Fachwissen in Anwendungssicherheit und Entwicklung sind in der Lage, einen hochwertigen Code-Review durchzuführen. Unsere Reviews enthalten insbesondere keine „False Positives“.

  • Strategische Maßnahme für Compliance (z.B. PCI-DSS)
  • Reduzierte Kosten & Aufwand gegenüber internen Reviews
  • Flexible Planung zu jedem Zeitpunkt

Effektiv und flexibel

Sie profitieren unter anderem in folgenden Punkten:

Reduzierte Kosten

Die Lizenzkosten vieler Code-Review Tools können die Hunderttausend-Euro-Grenze leicht überschreiten. Dazu kommen die Kosten für Training, Wartung und die Aufstellung eines Teams, das in der Lage ist, einen Code-Review schnell und effektiv umzusetzen. Sie sparen diese Kosten.

Reduzierte Last für die Entwickler

Selbst mit den teuersten Werkzeugen ist viel Erfahrung und aktuelles Wissen über Sicherheitslücken nötig, um ein qualitativ hochwertiges Review durchzuführen. Unerfahrene Reviewer neigen dazu, viele „False Positives“ zu entdecken und gleichzeitig manche der real existierenden Probleme zu übersehen „False Negatives“). Solche Falschmeldungen können zu einer erheblichen Last für die Entwickler werden. Durch unsere Hilfe können Ihre Entwickler schnel-ler und effektiver arbeiten und gezielt Schwachstellen beheben.

Neutrale Berichterstattung

Unser Team ist völlig neutral, unvoreingenommen und berichtet direkt an Sie. Dies ist für viele Compliance-Anforderungen wie z.B. PCI-DSS nötig.
Reduzierter Aufwand: Um Code-Reviews sinnvoll und effektiv in die Entwicklung zu integrieren werden Sie viel Zeit benötigen. Der Aufwand für die Konfiguration eines Tools und die Veränderungen im Projektlauf sollten nicht unterschätzt werden. Sie sparen diesen Aufwand.

Praxisgerechte Korrekturmaßnahmen

Auf Grund der Komplexität heutiger Webanwendungen können automatisierte Tools – wenn überhaupt – nur sehr unspezifische Korrekturvorschläge bieten. Unser Review zeigt codespezifische Korrekturmaßnahmen für die entdeckten Probleme auf. Ihre Entwickler werden unsere präzise, nachvollziehbare Berichterstattung schätzen.