Anzeige

Code Review

Ein Quellcode (engl. Source Code) ist ein fundamentaler Teil eines Computerprogramms und wird von Entwicklern in einer Programmiersprache geschrieben. Die darin enthaltenen Befehle, Variablen, Loops, Kommentare und weitere Zusätze definieren, wie das Computerprogramm funktioniert.

Grundsätzlich lässt sich zwischen proprietärer und quelloffener Software unterscheiden, deren Quellcode einsehbar ist. Eine Überprüfung des Quellcodes aufseiten der Anwender ist nötig, um Schwachstellen in Bezug auf Cybersicherheit, unsichere Kodierungspraktiken und Fehler in der Programmierlogik zu identifizieren. Unternehmen, die Sicherheitsrisiken minimieren und besonders wichtige Geschäftsfunktionen schützen wollen, sollten diesem wichtigen Thema daher mehr Aufmerksamkeit schenken. Bei der Durchführung von Quellcode-Überprüfungen dienen sichere Codierungsstandards wie der CERT Specification und der Common Weakness Enumeration (CWE) zur Orientierung. ZTE hat auf Basis dieser Standards eigene Verfahren und Spezifikationen für die Überprüfung von Quellcodes entwickelt, die das Unternehmen in der Praxis anwendet. Diese sind noch strenger und anspruchsvoller als übliche Verfahren und werden als obligatorische Maßnahme zur Erkennung und Eindämmung von Risiken eingesetzt.

Mehrwert von Quellcode-Überprüfungen für Unternehmen

Die Überprüfung des Quellcodes ist ein branchenweit bewährtes Verfahren zur Gewährleistung der Cybersicherheit von Software und wird von vielen Software-Anbietern übernommen und praktiziert. Als White-Box-Testmethode kann ein Source Code Review genutzt werden, um Schwachstellen wie unsichere Codierungsverfahren, mögliche Anwenderlogikprobleme oder unsichere Fehlerbehebungen zu identifizieren. In diesem Bereich sind Software-Tests wie die Black-Box- oder Grey-Box-Testmethode oft nur schwer anzuwenden oder sie versagen, da sie im Gegensatz zum Source Code Review nicht genau am Code prüfen.

Einfach gesagt, liegt bei der Quellcode-Überprüfung der Schwerpunkt auf den Details und den Prinzipien der Code-Implementierung innerhalb des Programms. Durch diese Vorgehensweise kann der Code umfassend und besonders im Hinblick auf Defekte und Anomalien überprüft werden. In Kombination mit weiteren Tests wie beispielsweise Penetrationstests können so die meisten Anwendungsschwachstellen wirksam abgedeckt werden. Dazu gehört auch die Aufdeckung von potenziellen Sicherheitsrisiken von 5G-Technologien wie Software Defined Networks (SDN), Network Function Virtualization (NFV) und Network Slicing, die sich ebenfalls auf von Entwicklern erstellte Quellcodes zurückführen lassen. 

Source Code Review-Verfahren: Statische und manuelle Prüfungen

Die Überprüfung des Quellcodes ist ein Prozess, der durch die Kombination von manuellen Überprüfungen und automatischen Tools ausgeführt wird – so auch bei ZTE. Tools zur automatischen statischen Code-Überprüfung stellen eine effiziente Möglichkeit zur Analyse des Quellcodes dar und werden von Anfang an in den Entwicklungszyklus integriert, um Programmierern bei der Identifizierung von Fehlern oder Schwachstellen zu helfen. Deswegen führen sogenannte First-Line-Teams bereits während der Entwicklungsphase des Source Codes verschiedene Überprüfungen wie einen Code-Walkthrough oder Abnahme- und Systemtests durch, um Risiken zu vermeiden. 

Die manuelle Code-Analyse ist ebenfalls ein obligatorischer Schritt vor der Fertigstellung des Quellcodes und kann in Kombination mit den automatischen Tests die meisten positiven und negativen Falschmeldungen identifizieren. Bei der manuellen Überprüfung werden Fehler im Code meistens nicht auf den ersten Blick erkannt. Vielmehr es ist notwendig, den Code auszuführen und im Detail zu analysieren. Dieser Prozess besteht bei ZTE aus mehreren Analysen: 

Zunächst wird überprüft, ob die generelle Zusammensetzung des Codes mit den festgelegten Zielen des Projekts übereinstimmt. Dafür untersucht das Team genau, ob dieser Teil des Codes so funktioniert, wie er von den Entwicklern entworfen wurde, ob seine Konsistenz gewährleistet ist und ob die Prinzipien „Security by Design“ und „Security by Default“ eingehalten wurden.

Als zusätzliche Sicherheitsmaßnahme wird anschließend auch eine unabhängige Quellcode-Überprüfung vom „Second-Line“-Team ausgeführt, das ebenfalls automatische Tools nutzt und den Code Zeile für Zeile auf seine Qualität überprüft. Die Entwickler simulieren unerwartete Fehler bei der Code-Ausführung und überprüfen, ob in diesem Fall alle Vorgaben eingehalten werden. Dafür fügen sie beispielsweise beliebige Werte ein, um mögliche Fehler auszuschließen, die von einem Angreifer ausgenutzt werden könnten. Dieser Schritt wird von der Sicherheitsabteilung von ZTE und dem Cybersecurity Lab durchgeführt.

Mehr Sicherheit dank Quellcodeüberprüfung

Ein sicherer Quellcode entsteht durch die Zusammenarbeit von verschiedenen Akteuren wie beispielsweise Entwicklern, Programmierern und Testern und trägt einen entscheidend zur Eindämmung von Cybersicherheitsrisiken in Unternehmen bei. Damit dieses Bewusstsein weiter geschärft wird, sollte das Thema bei der Forschung und Entwicklung von neuen Produkten und Dienstleistungen einen hohen Stellenwert einnehmen und konsequent berücksichtigt werden. ZTE hat sich das Ziel gesetzt, diese Vision zu realisieren und arbeitet daher eng mit Kunden, Regulierungsbehörden und weiteren Interessengruppen zusammen, um eine sichere digitale Zukunft zu ermöglichen. 

Alessandro Bassano, Director of Cyber Security Lab
Alessandro Bassano
Director of Cyber Security Lab, ZTE
Alessandro Bassano ist seit 2019 bei ZTE tätig. Davor hat er unter anderem in Lateinamerika, Russland, Asien und Europa gearbeitet, wo er für Cybersicherheit in kritischen Infrastrukturen der Energie und Elektrizitätsbranche zuständig war. Zudem hat Bassano RTOS-Firmware für Raketenantriebssysteme entwickelt und SCADA / DCS-Kontrollsysteme sowie verschlüsselte Telekommunikationssysteme für den Einsatz in Anlagen innerhalb von Kernkraftwerken entworfen.


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Cyberrisk
Okt 26, 2020

Veränderung der Cybersicherheit durch Corona

Die globale Covid-19-Pandemie hat Arbeitnehmer auf der ganzen Welt in neue Routinen und…
Junger Mann mit Smartphone und Kaffeetasse
Okt 20, 2020

Mobile Apps: Sicherheitsanforderungen und -risiken verstehen

Der Trend zu mobilen Anwendungen ist ungebrochen. Wenn man den Produktpräsentationen der…
Schlüsselloch
Sep 25, 2020

Windows XP Quellcode wurde angeblich geleaked

Einigen Medienberichten zufolge zirkuliert derzeit der Quellcode von Microsofts Windows…

Weitere Artikel

Cybercrime

Effizienter Schutz vor Credential Stuffing

Die globale Coronavirus-Pandemie hat das Problem von Credential Stuffing noch verschärft. Bei dieser Angriffsmethode probiert ein Cyberkrimineller eine große Anzahl gestohlener Anmeldedaten bei mehreren Websites aus. Damit möchte er sich unbefugten Zugang zu…
Weihnachten Kalender

Der Adventskalender für mehr IT-Sicherheit

Die Weihnachtszeit naht und für Viele ist das Öffnen von 24 Adventskalender-Türchen eines der am meisten geschätzten Dezember-Rituale. Passend dazu startet zum zweiten Mal die Aktion “Sicher im Advent”
Business Continuity Management

Business Continuity Management: Überlebenswichtig in Corona-Zeiten

Die Corona-Pandemie stellt zahlreiche Unternehmen auf eine harte Probe. In dieser unsicheren Wirtschaftslage können Systemausfälle oder Ähnliches nicht nur Zeit, Geld und die Reputation kosten, sondern auch die Existenz.
E-Mails

E-Mail-Kommunikation mittels Blockchain: totemomail Verified

Die E-Mail ist gerade im Geschäftsleben nach wie vor das universelle Kommunikationsmittel, obwohl ihren Vorteilen auch Nachteile wie Phishing-Risiken oder die fehlende Revisionssicherheit gegenüberstehen.
Netzwerk-Sicherheit

Das Netzwerk sichern wie den Firmen-Komplex

Ransomware-Angriffe nehmen mehr und mehr zu, nicht zuletzt begünstigt durch die fortschreitende Digitalisierung, Cloudmigration und breit angelegte Tele-Arbeit. Nun gilt es, die Strategie für Netzwerksicherheit ebenfalls zu adaptieren. Mehr Homeoffice. Mehr…
Endpoint Security Baum

Welche Strategie schützt den Endpunkt?

In einer perfekten Welt wäre Software vollkommen sicher und Angriffe wären unmöglich. Sie ist jedoch zu komplex, um perfekt entworfen oder programmiert werden zu können, jedenfalls, wenn Menschen im Spiel sind. Selbst die sichersten Anwendungen haben Fehler.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!