In unserem Labor haben können Sie nachlesen, welche Sicherheitslücken wir bereit in Open Source Software anhand von Code Audits identifizieren konnten.
Möchten Sie mehr über das Thema Pentests in Erfahrung bringen? Was wird bei einem Pentest gemacht? Wann macht ein Pentest Sinn?
Das Hauptziel eines Code Audits besteht darin, Schwachstellen in der Architektur bzw. Quellcodes Ihrer Sotwarelösung zu ermitteln. Wir empfehlen, ein Code Audit mit einem Penetrationstest zu kombinieren, da die Tester durch die Kombination von dynamischen und statischen Tests eine größtmögliche Abdeckung erreichen und schwer zu findende Schwachstellen identifizieren können.
Unsere Expertise liegt in der Durchführung von Code-Audits für Web-Applikationen.
Der Schwerpunkt eines Code Audits liegt auf der manuellen Code Analyse. Wir verwenden keine Tools für automatisierte Tests, sondern nutzen unser Fachwissen und unsere Erfahrung für die Bedrohungsidentifikation der individuellen Software.
Am Ende jedes Code Audits erstellen wir einen technischen Bericht, der alle identifizierten Schwachstellen zusammen mit einer Schweregradeinstufung nach Industriestandards sowie Handlungsempfehlungen enthält.
In der Regel wird im Rahmen eines Workshops mit dem entsprechenden Entwicklungsteam der Anwendung die Software technisch diskutiert und relevante Datenflüsse sowie existierende Security Controls (Authentifizierung, Autorisierung, Verschlüsselung) erfasst. Der Fokus dabei liegt auf der Verarbeitung und Speicherung von sensiblen Daten sowie der Zugriff darauf.
Es besteht auch die Möglichkeit die Identifizierung dieser Metriken ohne einen Workshop gänzlich von uns, auf Basis des zur Verfügung gestellten Quellcodes, vornehmen zu lassen. Der direkte Austausch mit dem Entwicklerteam ist dennoch zu empfehlen.
Die identifizierten Prozesse und Datenflüsse werden mit Sicherheitsrelevanz auf mögliche Bedrohungen mittels verschiedener Methodiken analysiert. Sensible Use Cases und Workflows werden identifizieren und diese im Hinblick auf ihre Angreifbarkeit bewerten.
Abschließend lassen sich für relevante Bedrohungen Sicherheitsmaßnahmen festlegen. Das Entwicklungsteam kann auf Basis eines detailierten Reports anhand von Handlungsempfehlungen entsprechende Maßnahmen ergreifen. Dies könnten z.B. relevante Architekturänderungen oder Empfehlungen zur Behebung von Sicherheitslücken im Code sein.