Source Code Review

Met een Source Code Review wordt uw code door externe, onafhankelijke, experts gecontroleerd op beveiligingsfouten en kwaliteit. Met het uitvoeren van een Source Code Review wordt een belangrijke stap gezet naar het veiliger maken van uw software en applicaties.

Normen

Wij hanteren voor code reviews een aanpak conform de OWASP Code Review Guide versie 2.0 Deze stelt ons in staat stelt de opdracht goed en efficiënt uit te voeren. De belangrijkste aspecten waar wij in navolging van deze richtlijnen onze review op richten betreffen:

Data Validation
Authentication
Session Management
Authorization
Cryptography
Error Handling
Logging
Security Configuration

Let op; onze code review kan niet gezien of gebruikt worden als substituut voor een ISO 25010 (Systems & Software Engineering) audit. ISO 25010 onderscheidt behalve security ook de gebieden: functionele geschiktheid, performance, compatibiliteit, bruikbaarheid, betrouwbaarheid, onderhoudbaarheid en overdraagbaarheid. Dat zijn aspecten waar we bij een security review (zie de OWASP Code Review Guide hierboven) niet specifiek over rapporteren.

Ondersteunde talen

Hoewel de tools die we gebruiken vele talen ondersteunen, geldt dat we veel waarde hechten aan de visuele (handmatige) review en willen we de code goed begrijpen. Daarom bieden wij code review uitsluitend voor een aantal door ons geselecteerde talen aan, waar wij ervaring in hebben. Voor andere talen kunnen wij een geautomatiseerde scan doen, maar het is dan geheel aan de klant om de resultaten te interpreteren.