Secure Code Review
Al giorno d’oggi una semplice attività di penetration test non è più considerata sufficiente per proteggere le applicazioni web, desktop o mobile. Inoltre, l’esecuzione della valutazione della sicurezza una volta che le applicazioni sono state sviluppate non è più conveniente. Per questi motivi la Secure Code Review è essenziale per garantire il massimo grado di sicurezza per le proprie applicazioni e per la propria infrastruttura IT.
Cosa è una Secure Code Review
Secure Code review (SCR) è probabilmente la tecnica più efficace per identificare i problemi di sicurezza nel codice.
L’SCR consiste nel processo di auditing del codice sorgente di un’applicazione per verificare che siano presenti controlli di sicurezza adeguati, che funzionino come previsto e che siano stati invocati nei luoghi corretti.
La Secure Code Review manuale fornisce un valore agli sviluppatori, che potranno capire quali bug correggere e come farlo in maniere efficiente.
Perchè una Secure Code Review manuale?
Perchè è efficace:
- Alta code coverage;
- Bassi falsi positivi;
- Alta percentuale di problemi di sicurezza trovati;
- Può essere introdotto in precedenza nel ciclo di vita dello sviluppo del software sicuro;
- Focalizzata sulla remediation.
Inoltre, la revisione manuale è l’unica attività in grado di rilevare la presenza di codice dannoso che potrebbe essere inserito da un agente malevolo (ad es., backdoor) con accesso al codice.