web-security.io

Source Code Testing



circles

Source Code Test

In diesem Prozess wird der Quelltext einer Web-Anwendung auf mögliche Schwachstellen (vulnerabilities or weaknesses) getestet und genauer untersucht. Das Ziel dieser Testung ist, Sicherheitslücken aufzudecken, damit diese anschließend geschlossen werden können, und somit der Schutz vor Cyber-Attacken verbessert wird. Dieser gesamte Prozess ist ein erforderlicher und wichtiger Teil des Softwareentwicklungsprozesses, denn dadurch kann man die Qualität und Zuverlässigkeit einer Software so gut wie möglich sicherstellen. Zu den Zielen einer Software zählen Stabilität und Sicherheit und durch Source Code Testing, können potenzielle Fehler schon in früheren Stadien erkannt und behoben werden.

Methodik

Die Überprüfung umfasst die folgenden Schritte:

  • Planung. Bevor die Überprüfung beginnt, wird ein Plan entwickelt, der den Umfang der Überprüfung, die Ziele und den Zeitplan festlegt.

  • Vorbereitung. Die Codebasis wird für die Überprüfung vorbereitet, indem sie geordnet und für die Prüfer leicht zugänglich gemacht wird. Außerdem werden alle erforderlichen Unterlagen zusammengetragen.

  • Testung:_ Die Prüfer untersuchen die Codebasis, um potenzielle Sicherheitsschwachstellen zu identifizieren. Dazu gehört die manuelle Überprüfung des Codes und der Einsatz automatischer Tools, um den Code auf bekannte Schwachstellen zu untersuchen. Die verwendeten Tools decken die CWE und OWASP Sicherheitsstandards ab.

  • Analyse: Die identifizierten Schwachstellen werden analysiert, um ihre potenziellen Auswirkungen und die Wahrscheinlichkeit einer Ausnutzung zu bestimmen. False-positives werden aussortiert. Die verbleibenden Schwachstellen werden hinsichtlich ihrer Priorität bewertet.

  • Berichterstattung und Beratung: Es wird ein Bericht erstellt, der die Ergebnisse der Überprüfung zusammenfasst, einschließlich der ermittelten Schwachstellen und ihres Schweregrads sowie Empfehlungen zur Abhilfe. Mit Hilfe des Berichts findet ein Beratungsgspräch zu allen identifizierten Schwachstellen statt.

Diese Prüfung konzentriert sich auf die Identifizierung potenzieller Schwachstellen und die Erarbeitung von Empfehlungen zur Verbesserung der Sicherheit. Kein Security Test kann garantieren, dass alle Schwachstellen identifiziert wurden oder, dass die Anwendung vollständig sicher ist. Ein höherer Grad an Sicherheit kann erreicht werden, indem unterschiedliche Testmethoden verwendet werden. Eine zusätzliche Durchführung von Application Testing führt in der Regel zur Identifikation weiterer potentieller Sicherheitsschwachstellen.