JumpStart Security Code Review

Finden Sie Quellen von Anwendungsrisiken

Nächste Schritte:

Overview

Bei der Risikobewertung von Quellcode stützt sich Foundstone auf die Kompetenz der Berater seines Software and Application Security Service (SASS), die bereits an zahlreichen Anwendungen von Kunden sowie an ihrer eigenen Software Quellcode-Überprüfungen durchgeführt haben. Unsere SASS-Berater haben an kommerziellen Software-Systemen für Unternehmen praktische Entwicklungsarbeit geleistet. Sie verstehen sowohl den Software-Entwicklungsprozess als auch, warum und wie es zu Sicherheitsfehlern kommt. Mit unserer Erfahrung und in Kombination mit hochentwickelten, automatischen Tools, die mit Kontextanalyse arbeiten, können wir eine größere Codemenge schneller, genauer und effektiver durchsehen als andere Sicherheitsberatungen.

Mit einem JumpStart Security Code Review führt Foundstone eine gezielte Bewertung durch, die automatische Codeanalyse durch manuelle Überprüfung erweitert. Automatische Tools allein können Architekturfehler nicht wirksam auffinden und liefern zudem "False Positives" in großer Zahl. Die erfahrenen SASS-Berater von Foundstone stellen diese Mängel ab und liefern Ihrem Team genaue und aufschlussreiche Ergebnisse, mit deren Hilfe Sie die Sicherheit Ihrer Anwendung unmittelbar verbessern können.

Wichtige Vorteile

Das Software and Application Security Services-Team von Foundstone bietet Software-Sicherheitskompetenz, die seine Mitglieder in großen Unternehmen für Software-Entwicklung erworben haben. Sie haben an zahlreichen Anwendungen von Kunden sowie an ihrer eigenen Software Quellcode-Überprüfungen durchgeführt. Da die Teammitglieder an kommerziellen Software-Systemen für Unternehmen praktische Entwicklungsarbeit geleistet haben, verstehen sie sowohl den Software-Entwicklungsprozess als auch, warum und wie es zu Sicherheitsfehlern kommt. Ihre Empfehlungen bieten Lösungen, die sowohl auf den speziellen Codeabschnitt ausgerichtet sind, in dem das Problem aufgefunden wurde, als auch auf den gesamten Code, der mit dem Codeabschnitt interagieren muss.

Am wichtigsten ist jedoch vielleicht, dass unsere Berater gut dafür gerüstet sind, nicht nur theoretische, sondern auch in der Praxis umsetzbare Empfehlungen zu geben – haben sie doch schon unter ähnlichem Druck kommerzieller Software-Entwicklung gestanden, wie Ihr Team ihn vielleicht verspürt. Unsere Experten verwenden eine Kombination von manuellen Verfahren zur Codeüberprüfung und Kontextanalyse mit hochentwickelten, automatischen Tools und können so eine größere Codemenge schneller, genauer und effektiver durchsehen als andere.

Zudem können Sie mit der Codeüberprüfung von Foundstone die PCI DSS-Anforderung 6.6 erfüllen. Die erfahrenen Software-Sicherheitsberater von Foundstone liefern Ihrem Team genaue und aufschlussreiche Ergebnisse, die Sie dazu verwenden können, die Sicherheit Ihrer Anwendung unmittelbar zu verbessern und die PCI-Anforderungen zu erfüllen.

Methodology

Foundstone führt diese Bewertung mithilfe seiner bewährten und erprobten Methoden durch:

  • Grundlegende Architektur-Analyse und Durchsicht des Codes. Dieser Vorgang wird vor Ort mit wichtigen Akteuren des Entwicklungsteams durchgeführt. Foundstone nutzt diese Sitzung, um Architekturfehler aufzufinden sowie sich Zugang zu dem Quellcode zu verschaffen und ihn durchzusehen, um sich für die nächsten Phasen mit dem Code vertraut zu machen.
  • Je nach dem Umfang und der Komplexität des Quellcodes führt Foundstone dann zielgerichtete Codebewertungen mit fester Zeiteinteilung durch. Mithilfe von kommerziellen, Open-Source- sowie Foundstone-eigenen, intern entwickelten Codescannern wird eine statische Analyse durchgeführt. Die Ergebnisse der Analyse werden überprüft, um False Positives auszusondern. Schließlich wird eine Analyse zur Identifikation wichtiger Risikobereiche der Anwendung durchgeführt.
  • Foundstone präsentiert den Bericht der automatischen Tools sowie eine Zusammenfassung davon. Damit kann sich der Kunde die Informationen verschaffen, die er braucht, um Risiko-relevante Entscheidungen in Bezug auf die getestete Anwendung zu treffen.

Unser JumpStart Security Code Review umfasst:

  • Einen technischen Bericht auf der Basis der Ergebnisse der automatischen Scans mit den oben beschriebenen Tools.
  • Eine Zusammenfassung der Ergebnisse des Berichts sowie von Architekturfehlern, systemischen Problemen sowie hauptsächlichen Quellen von Anwendungsrisiken, die von den Foundstone-Beratern erkannt wurden. Zu den Risikoquellen können Personen, Prozesse und Technologieprobleme zählen.
  • Eine zusammenfassende Präsentation, die Empfehlungen zur Entschärfung von Risiken und Vorschläge für die nächsten Schritte enthält. Gemeinsam mit dem Kunden kann Foundstone sicherstellen, dass diese Präsentation auf dem richtigen Niveau für das vorgesehene Publikum gestaltet wird.