Code Audits

Das Hauptziel des Code Audits / Reviews besteht darin, Schwachstellen im Design bzw. Quellcodes Ihres Produkts zu ermitteln. Wir empfehlen, ein Code Audit mit einem Penetrationstest zu kombinieren, da die Tester durch die Kombination von dynamischen und statischen Tests eine größtmögliche Abdeckung erreichen und schwer zu findende Schwachstellen identifizieren können.

Unser handverlesenes Team von Senior Consultants bei RootSys beherrscht eine breite Palette von Programmiersprachen und ist in der Lage, Code Audits für Applikationen durchzuführen, welche in den folgenden Programmiersprachen geschrieben wurden: C#, Java, Golang, Rust, C++, C, Kotlin, SWIFT, Objective-C, Python, Rust, und weitere.

RootSys führt Code Audits in mehreren Schritten durch, wobei ein erstes Scoping und ein Workshop zusammen mit dem Entwicklungsteam einen Überblick über das Design und die Architektur der Anwendung sowie der Struktur des Codes verschafft. Dieser Input ist essenziell für die Erstellung eines Threat Models, um die eigentliche Durchführung des Code Reviews besser auf die Bedürfnisse unserer Kunden zuschneiden zu können. Des Weiteren wird durch diesen initialen Schritt ein genaues Bedrohungsmodell (Threat Model) der Anwendung definiert.

Anschließend führen wir das Code Audit sowohl mit manuellen Methoden als auch mit automatisierten Tools durch. Es muss betont werden, dass der Schwerpunkt des Code Audits auf der manuellen Code Analyse liegt, um das Fachwissen und die Erfahrung der Consultants voll auszuschöpfen. Wir sind bestrebt, die Code Audits in enger Zusammenarbeit mit dem Entwicklungsteam durchzuführen um potenzielle Schwachstellen direkt an die Entwickler weiterzugeben, sobald diese identifiziert wurden. Dies trägt dazu bei, sogenannte “false-positives” zu vermeiden und das Testen im Bezug auf wichtige und interessante Bereiche anzupassen, da das Feedback des Entwicklungsteams direkt in den Code Review-Prozess einfließt.

Am Ende jedes Code Audits erstellt RootSys einen technischen Bericht, der alle identifizierten Schwachstellen zusammen mit einer Schweregradeinstufung nach Industriestandards enthält.