Gefährdungslage aufdecken

Code-Review-Service

Unser Best-Practice-Vorgehen für sicheren Code

Bei einem Code-Review überprüft ein neutraler, unabhängiger Experte systematisch die Code-Basis Ihrer Bestandsanwendungen auf Schwachstellen und Sicherheitsrisiken. Wir evaluieren den Code mittels verschiedener Security-Verfahren (z. B. Vulnerability Scans und Threat-Modeling) und können ihn basierend auf den Ergebnissen ausbessern (z. B. Security-Fixes und Code Refactoring).

Quellcode analysieren, Gefährdungslage aufdecken

Warum sind unabhängige Experten beim Code-Review so wichtig?

Sehen Sie dringenden Handlungsbedarf bei Ihrem Code?

Vorteile des Code-Review-Services

Unser Ansatz für sicheren Code

Best-Practices: Code-Reviews als erster Schritt

1. Prozessanalyse
  • Vor-Ort-Termin mit relevanten Stakeholdern
  • Austausch über aktuelle Problemstellen
  • Befragung der Entwickler und User
  • Anfragen der kritischen Code-Stellen (Passwortabfragen, Nutzerdaten-Verarbeitung)
  • Rückschlüsse auf Sicherheitslücken
2. Code-Analyse durch Vulnerability-Scans
  • Prüfung durch Vulnerability-Scans mittels SAST-Tools
  • Analyse und Bewertung der Ergebnisse 
  • Ableitung eines priorisierten Maßnahmenkataloges mit Handlungsempfehlungen
3. Threat-Modeling
  • Sammlung der gefundenen Schwachstellen und Sicherheitslücken
  • Aufbau eines Threat-Models auf basierend auf In- und Outflow von Daten, Datenverarbeitungen und fehlenden Validierungen
  • Verknüpfung aller Punkte zur möglichen Angriffssimulation
4. Ergebnisvorstellung
  • Vorstellung des individuellen Threat-Models
  • Ansätze und Empfehlungen zur Behebung der Schwachstellen und Eliminierung der Threat-Models
  • Priorisierung der Handlungsempfehlungen und Gewichtung der Schwachstellen als Basis für die nächsten Schritte
  • Vorstellung eines ganzheitlichen Sicherheitskonzepts für den unternehmensspezifischen Anwendungsfall ( Sicherheits- und Compliance-Richtlinien, Architekturkonzeption, DevSecOps-Prozess etc.)
  • Ansätze für die Umsetzung der Handlungsempfehlungen, bei denen wir im Rahmen eines Folgeprojekts unterstützen können

Vulnerability-Scans mit SAST-Tools​

Mittels Vulnerability-Scans, auch Static Application Security Tests (SAST) genannt, prüfen wir den Code mithilfe verschiedener Tools und analysieren und bewerten im Anschluss die Ergebnisse. Daraus leiten wir einen priorisierten Maßnahmenkatalog mit Handlungsempfehlungen ab.

Threat-Modeling

Secure Coding

Sicherheitsrisiken in Anwendungen minimieren

Ihr Partner für ein erfolgreiches Code-Review

Die 10 größten Sicherheitsrisiken für Webanwendungen

gemäß der OWASP-Top-10, die in einem Code-Review analysiert werden:

  1. Broken access control: Unkontrollierte Zugänge zu Anwendungen, lückenhaftes Zugriffs- und Identitätsmanagement
  2. Cryptographic failures: Fehlende HTTP-Sicherheitsheader, Zertifikatsprobleme oder der Einsatz schwacher kryptografischer Algorithmen
  3. Injection: SQL-, XML- oder Code-Injection, Cross-site Scripting (XSS), ungeprüfte Datenverarbeitung
  4. Insecure design: Fehlende Implementierung von Sicherheitsmechanismen, keine oder unzureichende Passwortrichtlinien
  5. Security misconfiguration: Falsch konfigurierte Berechtigungen für Cloud-Dienste, Verwendung falscher Sicherheitsparameter oder Aktivierung unnötiger Funktionen
  6. Vulnerable and outdated components: Nicht-aktualisierte Anwendungen und Komponenten und Abhängigkeiten zu veralteten oder unsicheren Programmbibliotheken
  7. Identification and authentication failures: Nicht-authentifizierte Benutzeridentitäten, Speicherung von schwach gehashten oder Klartext-Passwörtern
  8. Software and data integrity failures: Automatisiertes Einspielen von Software-Updates ohne vorherige Prüfung, unentdeckte Veränderung und fehlende Integritätsprüfung von Daten
  9. Security logging and monitoring failures: keine Nachverfolgung von fehlgeschlagenen Anmeldeversuchen oder keine Überwachung von API-Schnittstellen auf verdächtige Aktivitäten
  10. Server-side request forgery (SSRF): Abrufen von Remote-Quellen ohne Zielüberprüfung

Projektvorgehen mit Changemanagement​

Beratung & Strategie​
Entwicklung & Implementierung
Begleitung durch Changemanagement​​
Betrieb & Support
Begleitung durch Changemanagement​​

Operation- & Changemanagement

Qualitätssicherung & -Maßnahmen​
Methodik, DevSecOps, Kultur & Werte​
Trust

Durch unsere transparente, verantwortungsbewusste und proaktive Arbeitsweise schaffen wir Vertrauen bei unseren Kunden.

Digitalize

Wir entwickeln und implementieren gemeinsam mit unseren Kunden moderne und nachhaltige Software-Lösungen.

Succeed

Gemeinsam mit unseren Kunden erarbeiten wir Visionen, die zu Erfolgsgeschichten werden.

Learn

Informieren Sie sich zu aktuellen Technologien und Projekt-Insights auf unserem Blog oder in unseren Experten-Webcasts.