Source Code Review

Met een Source Code Review wordt uw code door externe, onafhankelijke, experts gecontroleerd op beveiligingsfouten en kwaliteit. Met het uitvoeren van een Source Code Review wordt een belangrijke stap gezet naar het veiliger maken van uw software en applicaties.


Normen

Wij hanteren voor code reviews een aanpak conform de OWASP Code Review Guide versie 2.0  Deze stelt ons in staat stelt de opdracht goed en efficiënt uit te voeren. De belangrijkste aspecten waar wij in navolging van deze richtlijnen onze review op richten betreffen:

  • Data Validation
  • Authentication
  • Session Management
  • Authorization
  • Cryptography
  • Error Handling
  • Logging
  • Security Configuration

Let op; onze code review kan niet gezien of gebruikt worden als substituut voor een ISO 25010 (Systems & Software Engineering) audit. ISO 25010 onderscheidt behalve security ook de gebieden: functionele geschiktheid, performance, compatibiliteit, bruikbaarheid, betrouwbaarheid, onderhoudbaarheid en overdraagbaarheid. Dat zijn aspecten waar we bij een security review (zie de OWASP Code Review Guide hierboven) niet specifiek over rapporteren.


Ondersteunde talen

Hoewel de tools die we gebruiken vele talen ondersteunen, geldt dat we veel waarde hechten aan de visuele (handmatige) review en willen we de code goed begrijpen. Daarom bieden wij code review uitsluitend voor een aantal door ons geselecteerde talen aan, waar wij ervaring in hebben. Voor andere talen kunnen wij een geautomatiseerde scan doen, maar het is dan geheel aan de klant om de resultaten te interpreteren.

  • Bash / Shellscript
  • C#
  • C++
  • Go
  • Java
  • JavaScript (waaronder frameworks zoals Angular, Vue en React)
  • .NET
  • Perl
  • PHP
  • PowerShell
  • Python
  • Ruby
  • SQL


Rapportage

VTM levert een schriftelijke rapportage op met daarin:

  • een managementsamenvatting;
  • alle uitgevoerde tests en bevindingen uit het onderzoek;
  • het gevolg en de waarschijnlijkheid;
  • bewijsmateriaal in de vorm van bijvoorbeeld screenshots en/of code-snippets;
  • op de bevindingen gebaseerde aanbevelingen.

De aanbevelingen dienen om de volgende risico’s te minimaliseren:

  • ontvreemding van informatie (vertrouwelijkheid);
  • het niet beschikbaar zijn van informatie (beschikbaarheid);
  • manipulatie van informatie (integriteit).

 

Lees ook:

 

Terug naar overzicht