Secure Code Review

Al giorno d’oggi una semplice attività di penetration test non è più considerata sufficiente per proteggere le applicazioni web, desktop o mobile. Inoltre, l’esecuzione della valutazione della sicurezza una volta che le applicazioni sono state sviluppate non è più conveniente. Per questi motivi la Secure Code Review è essenziale per garantire il massimo grado di sicurezza per le proprie applicazioni e per la propria infrastruttura IT.

Cosa è una Secure Code Review

Secure Code review (SCR) è probabilmente la tecnica più efficace per identificare i problemi di sicurezza nel codice.

L’SCR consiste nel processo di auditing del codice sorgente di un’applicazione per verificare che siano presenti controlli di sicurezza adeguati, che funzionino come previsto e che siano stati invocati nei luoghi corretti.

La Secure Code Review manuale fornisce un valore agli sviluppatori, che potranno capire quali bug correggere e come farlo in maniere efficiente.

Perchè una Secure Code Review manuale?

Perchè è efficace:

  • Alta code coverage;
  • Bassi falsi positivi;
  • Alta percentuale di problemi di sicurezza trovati;
  • Può essere introdotto in precedenza nel ciclo di vita dello sviluppo del software sicuro;
  • Focalizzata sulla remediation.

Inoltre, la revisione manuale è l’unica attività in grado di rilevare la presenza di codice dannoso che potrebbe essere inserito da un agente malevolo (ad es., backdoor) con accesso al codice.