Quellcode-Überprüfung
Finde den Fehler in der Matrix
Fortsetzung des Artikels von Teil 1
Review: Durchführung und Verfahren
Die Quelltextprüfung ist ein Prozess, der aus einer Kombination von manuellen Prüfungen und automatischen Abläufen besteht. Sogenannte First-Line-Teams führen während des Entwicklungsprozesses unerlässliche Code-Walkthrough-, Abnahme- und Systemtests durch, um Risiken zu vermeiden. Dabei bieten automatische Code-Review-Tools eine effiziente Methode zur Analyse des Quellcodes. Bestimmte Unternehmen benutzen diese Tools bereits im Entwicklungslebenszyklus, um Entwicklern bei der Identifizierung von Fehlern oder Schwachstellen zu helfen. Der manuelle Code-Walkthrough ist ein weiterer verbindlicher Schritt vor der Fertigstellung des Quellcodes und hilft, die meisten positiven und negativen Falschmeldungen zu identifizieren.
Da es bei einer manuellen Code-Überprüfung nicht leicht ist, Fehler durch einfaches Betrachten des Codes zu entdecken, ist es notwendig, den Code darüber hinaus auch automatisch auszuführen und während des Prozesses genau zu analysieren. Die Analysen unterscheiden sich dabei je nach Unternehmen: So kann am Anfang des Prozesses beispielsweise die Überprüfung stehen, ob der allgemeine Entwurf das widerspiegelt, was durch das Projekt festgelegt wurde. Zielsetzung ist es zu untersuchen, ob dieser Teil des Codes genau so funktioniert, wie er vom Entwickler programmiert wurde, ob die Kontinuität gewährleistet ist und die Grundsätze hinsichtlich „Security by Design und Default“ eingehalten werden. Außerdem führen sogenannte „Second-Line-of-Defense“-Teams eine unabhängige Überprüfung des Quellcodes als weitere Sicherheitsmaßnahme durch. Neben der manuellen Prüfung der Codequalität mittels „Zeile für Zeile“ wird auch hier zusätzlich mithilfe von automatisierten Tools kontrolliert. Des Weiteren analysieren die Entwickler, ob alle gewünschten Merkmale berücksichtigt werden, sollten während der Ausführung unerwartete Fehler auftreten. Auch das Einfügen aller möglichen Werte durch die Entwickler ist Teil des Tests, um Fehler auszuschließen, die von einem Angreifer ausgenutzt werden könnten. Sollte es hier zu einem „Bruch“ kommen, wird außerdem geprüft, ob der Code auch widerstandsfähig gegen einen unerwarteten Angriff ist. Einige Anbieter lassen ihre Quellcodes zudem mehrfach von unabhängigen Dritten überprüfen.
Cybersicherheit in Zukunft
Ob Unternehmen, Behörde oder Privathaushalt – die Sicherheitsbedrohungen für IT-Netze nehmen allerorts zu. Denn die Zahl von Angriffsflächen innerhalb komplexer Systemlandschaften wächst ebenso rasant wie die technischen Fähigkeiten von Hackern und Cyberkriminellen. Unternehmen legen deswegen bei der Forschung und Entwicklung neuer Produkte besonderen Wert auf Cybersicherheit. Dabei suchen sie bei der Umsetzung von Sicherheitsvisionen kontinuierlich nach kreativen Methoden, um noch tiefer in das Thema Cyber Security einzudringen. Beispiele hierfür sind die stetige Verbesserung im Bereich Forschung und Entwicklung sowie die Kooperation mit renommierten externen Partnern. Verschiedene Bereiche fügen sich zum Telekommunikations-Ökosystem zusammen. Dabei sind die einzelnen Komponenten genau so einzigartig und unersetzlich wie die Entwickler, Tester und alle anderen Akteure, die für die Sicherheit des Quellcodes verantwortlich sind.
Für ein sicheres Netzwerk wird die Zusammenarbeit aller Akteure benötigt, um den Stellenwert der Cybersicherheit insgesamt zu erhöhen. Ziel eines jeden Unternehmen sollte es daher sein, sich gemeinsam mit Kunden und Regulierungsbehörden für eine erweiterte Zusammenarbeit und Kommunikation einzusetzen, um eine bessere digitale Zukunft zu ermöglichen.
Alessandro Bassano, Direktor des Cybersecurity Labs und Head of Cybersecurity bei ZTE in Italien
- Finde den Fehler in der Matrix
- Review: Durchführung und Verfahren
Lesen Sie mehr zum Thema
