Code-Analysen

Quellcode-Analysen gehören zu den Whitebox-Tests und kombinieren die dynamischen Penetrationstests von Applikationen mit statischen Tests anhand des Quellcodes und bietet somit eine deutlich erhöhte Prüfungstiefe, um auch Schwachstellen zu identifizieren, die durch dynamische Tests nicht in dem vorgesehenen Testzeitraum feststellbar sind. Der bereitgestellte Quellcode wird mittels SAST (Static Application Security Testing) und SCA (Software Composition Analysis) einem Tool-gestützten manuellen Review unterzogen. Je nach Software-Architektur und Framework werden entsprechende Standards und Best Practices für die sichere Entwicklung zugrunde gelegt.

Die Bereitstellung des Quellcodes während eines Penetrationstests hat den Vorteil, dass sicherheitsrelevante Funktionen direkt im Quellcode nachvollzogen und bewertet werden können. Dieses Vorgehen ist oftmals effizienter als das Blackbox-Testing und ermöglicht das Finden von tieferliegenden, komplexeren Schwachstellen, was insbesondere sinnvoll ist, wenn eine Anwendung bereits mehrmals sicherheitstechnisch geprüft wurde.

Die Ergebnisse werden ein einem ausführlichen Bericht mit direkter Referenz zur relevanten Codezeile oder Funktion dokumentiert, sodass die Entwickler schnell und einfach die vorgeschlagenen Maßnahmen umsetzen können.