Code-Review-Service
durch unabhängige Experten

Security ist kein Feature - Security ist ein Prozess!

Sicherheitsrisiken minimieren und Gefährdungslage aufdecken

Durch unseren Code-Review-Service identifizieren wir Sicherheitsrisiken und Sie erhalten einen Überblick über die aktuelle Gefährdungslage ausgehend von Ihrem bestehenden Code – der erste Schritt zu langfristig sicheren Unternehmensanwendungen.

Gerade Legacy-Code, also Code, der historisch gewachsen ist und im Laufe der Zeit von vielen Entwicklern weiterentwickelt wurde, enthält in der Regel viele verdeckte Bugs und komplexe, kaum zu überblickende Code-Strukturen. Das führt dazu, dass der Code nicht mehr gewartet, gepflegt und weiterentwickelt werden kann. Es ist nur noch schwer nachvollziehbar, wo sich der Code an welchen Stellen wie auswirkt: eine Brutstätte für Performance-Probleme und Sicherheitslücken. 

Quick-Wins für einen sicheren Code
Ist Ihr Code sicher? Zum Selbststest

Unser Ansatz: Code-Reviews als erster Schritt zu einem sicheren Code

Wie können Sicherheitsrisiken minimiert werden?

Bei einem Code-Review wird die Code-Basis Ihrer Bestandsanwendungen von einem neutralen, unabhängigen Experten systematisch auf Schwachstellen und Sicherheitsrisiken überprüft. Der Code wird mittels verschiedener Security-Verfahren (z.B. Vulnerability Scans und Threat-Modeling) evaluiert und kann basierend auf den Ergebnissen ausgebessert werden (z.B. Security-Fixes und Code Refactoring).

Code auf einem Tablet - Code-Review-Service von Objektkultur

Vulnerability-Scans

Mittels Vulnerability-Scans, auch Static Application Security Tests (SAST) genannt, prüfen wir den Code mithilfe verschiedener Tools und analysieren und bewerten im Anschluss die Ergebnisse. Daraus leiten wir einen priorisierten Maßnahmenkatalog mit Handlungsempfehlungen ab.

Threat-Modeling

Das Threat-Modeling ist ein bewährtes Konzept mit einer hohen Kosten-Nutzen-Ratio. Dabei analysieren wir den Code auf potenzielle Angriffsflächen mit dem Ziel, Sicherheitsmaßnahmen abzuleiten. Das von uns erstellte Bedrohungsmodell kann im Anschluss von den Entwicklerteams mitigiert werden.

Sicherheitsrisiken lauern überall

Egal, ob sich Angreifer Zugang zu Informationen aus Datenbanken verschaffen, schädliche Skripte in Anwendungen einschleusen oder Webanwendungen unerreichbar machen (Denial of Service) – oft findet sich die Ursache für diese Sicherheitslücken unmittelbar in unsicherem, fehlerhaftem oder veraltetem Code.

Fast jeder ist betroffen

In 94% der getesteten Webapplikationen im Rahmen der OWASP-Studie von 2021 wurde entweder eine Form von Broken-Access-Control oder eine Anfälligkeit für Injection festgestellt. 

Die Top 10 der Non-Profit-Organisation Open Worldwide Application Security Project (OWASP) stellt eine umfassende Übersicht über die kritischsten Sicherheitsrisiken für Webanwendungen dar. Die Verwendung der OWASP-Top-10 kann als wirksamer erster Schritt angesehen werden, um eine Kultur für Softwareentwicklung zu schaffen, die sichereren Code produziert und die Risiken von Webanwendungen so weit wie möglich minimiert. 

Quick-Wins für einen sicheren Code

Die folgende Liste umfasst die zehn größten Sicherheitsrisiken für Webanwendungen nach der OWASP-Top-10, die in einem Code-Review analysiert werden können:

  1. Broken access control: Unkontrollierte Zugänge zu Anwendungen, lückenhaftes Zugriffs- und Identitätsmanagement
  2. Cryptographic failures: Fehlende HTTP-Sicherheitsheader, Zertifikatsprobleme oder der Einsatz schwacher kryptografischer Algorithmen
  3. Injection: SQL-, XML- oder Code-Injection, Cross-site Scripting (XSS), ungeprüfte Datenverarbeitung
  4. Insecure design: Fehlende Implementierung von Sicherheitsmechanismen, keine oder unzureichende Passwortrichtlinien
  5. Security misconfiguration: Falsch konfigurierte Berechtigungen für Cloud-Dienste, Verwendung falscher Sicherheitsparameter oder Aktivierung unnötiger Funktionen
  6. Vulnerable and outdated components: Nicht-aktualisierte Anwendungen und Komponenten und Abhängigkeiten zu veralteten oder unsicheren Programmbibliotheken
  7. Identification and authentication failures: Nicht-authentifizierte Benutzeridentitäten, Speicherung von schwach gehashten oder Klartext-Passwörtern
  8. Software and data integrity failures: Automatisiertes Einspielen von Software-Updates ohne vorherige Prüfung, unentdeckte Veränderung und fehlende Integritätsprüfung von Daten
  9. Security logging and monitoring failures: keine Nachverfolgung von fehlgeschlagenen Anmeldeversuchen oder keine Überwachung von API-Schnittstellen auf verdächtige Aktivitäten
  10. Server-side request forgery (SSRF): Abrufen von Remote-Quellen ohne Zielüberprüfung
Quick-Wins für einen sicheren Code

Code-Review-Service

Warum sollten Sie einen unabhängigen Experten mit einem Code-Review beauftragen?

Durch automatisierte Tests kann der Code auf Schwachstellen getestet werden. Häufig fehlt es unserer Erfahrung nach in Unternehmen aber an entsprechendem Know-how, um die Ergebnisse zu interpretieren und nachhaltige Handlungsempfehlungen abzuleiten. 

Zudem sind automatisierte Tests oft nicht in der Lage, Sicherheitslücken miteinander zu kombinieren und so große, gefährliche Schwachstellen zu identifizieren (Threat-Modeling). Nichts kann hier den geschulten Blick eines Security-Experten mit langjähriger Erfahrung ersetzen, der auch kleine Unstimmigkeiten an unterschiedlichen Stellen im Code in Zusammenhang bringen kann.

Jetzt Code-Review anfragen

Vorteile eines Code-Reviews

  • Überblick über die aktuelle Gefährdungslage ausgehend von Ihrem bestehenden Code
  • Prüfung durch ein unabhängiges Expertenteam
  • Aufdeckung von Optimierungspotenzialen
  • Identifikation möglicher Schwachstellen und Sicherheitslücken
  • Auflistung klarer Handlungsempfehlungen
  • Einsparung von Lizenzkosten für Security-Prüfungstools

Sehen Sie schnellen Handlungsbedarf bei Ihrem Code?

Quick-Wins für einen sicheren Code
Selbsttest

Wie sicher ist Ihr Code?

Wenn Sie nur 1 der 8 nachfolgenden Fragen mit „Ja“ beantworten, sollten Sie Ihren Bestandscode von einem unserer unabhängigen Experten überprüfen lassen. Zudem könnte eine Qualitäts-, Performance- und Security-Analyse Ihres Bestandscodes

  • für Sie einen Performance-Sprung bedeuten.
  • Ihnen später hohe Kosten ersparen.
  • Sie vor schwerwiegenden Betriebsausfällen durch unbemerkte Sicherheitslücken bewahren.

Testen Sie, wie sicher Ihre Code-Basis ist:

  1. Ist Ihre Anwendung teilweise oder insgesamt langsam, instabil oder häufiger nicht erreichbar?
  2. Beschweren sich Ihre Anwender, dass die Anwendung nicht erwartungsgemäß funktioniert oder reagiert? Sind Ihre Anwender frustriert und unzufrieden mit der Anwendung?
  3. Dauert die Behebung von Bugs oder die Umsetzung von Feature-Requests durch das Entwicklungsteam überdurchschnittlich lange oder werden sämtliche Anpassungen grundsätzlich als besonders komplex eingestuft?
  4. Haben die Entwickler Schwierigkeiten, die Aufwände für neue Features konkret abzuschätzen?
  5. Sind die Code-Basis oder die verwendeten Sprachen und Technologien veraltet? Ist die gesamte Anwendung historisch gewachsen?
  6. Haben bereits viele verschiedene Entwickler oder Teams an der Anwendung mitgewirkt?
  7. Haben Sie keine automatisierte Pipeline implementiert, die Ihren Bestandscode kontinuierlich toolgestützt auf Programmierfehler und Sicherheitslücken untersucht?
  8. Haben Sie für Ihren Bestandscode bisher noch nie zuvor eine unabhängige und objektive Bewertung durch einen unparteiischen und unabhängigen Dritten hinsichtlich möglicher Sicherheitslücken oder Optimierungspotenziale eingeholt?
Wahrscheinlich konnten Sie mindestens eine Frage mit „Ja“ beantworten.
Lassen Sie jetzt Ihren Bestandscode von einem unserer unabhängigen Experten überprüfen!
Jetzt Code-Review anfragen
Kostenloser PDF-Download

Quick-Wins für einen sicheren Code

Wir haben Ihnen umfangreiche Quick-Wins mit möglichen Maßnahmen zusammengestellt, damit Sie eine Basis für einen sicheren Code schaffen können.

Unter anderem bekommen Sie Empfehlungen zu automatisierten Sicherheitstools, zum Berechtigungs- und Zugriffmanagement, zu Konfigurationseinstellungen und Fehlerbehandlungen, zum Passwortmanagement sowie zu Drittanbieter-Integrationen und vielem mehr.

Ihr Partner für ein erfolgreiches Code-Review

Wir implementieren seit vielen Jahren Individualsoftware auf Basis von DevSecOps mit Fokus auf eine langfristig sichere Bereitstellung der Anwendungen.

Was unterscheidet uns hier von anderen? Bei uns profitieren Sie von Menschen mit langjähriger Erfahrung, die sich nicht blind auf Security-Tools verlassen und das erkennen, was diese oft übersehen.

Download der Quick-Wins

Nachdem Sie auf „Senden“ geklickt haben, erhalten Sie Zugriff auf das PDF. 

Solutionpaper Download
Trust

Durch unsere transparente, verantwortungsbewusste und proaktive Arbeitsweise schaffen wir Vertrauen bei unseren Kunden.

Unsere Passion
Digitalize

Wir entwickeln und implementieren gemeinsam mit unseren Kunden moderne und nachhaltige Software-Lösungen.

Cloud Experts
Succeed

Gemeinsam mit unseren Kunden erarbeiten wir Visionen, die zu Erfolgsgeschichten werden.

Success Stories
Learn

Informieren Sie sich zu aktuellen Technologien und Projekt-Insights auf unserem Blog oder in unseren Experten-Webcasts.

OKBlog