Auditierungen von Quellcode sind der effektivste Weg, Schwachstellen in Anwendungen zu finden, bevor Cyberkriminelle sie ausnutzen können. Durch Code-Analysen und gezieltes Debugging werden potenzielle Risiken identifiziert, wodurch die Sicherheit und Qualität des Quellcodes verbessert werden.

Dabei liegt der Fokus auf Quellcode aus verschiedenen Sprachen wie PHP, Java, .NET, Kotlin, Python, Perl oder JavaScript.

PWND Labs teilt Quellcode Analysen in 5 Phasen auf:

1. Planung- und Scoping-Phase
2. Durchführungsphase
3. Analyse- und Auswertungsphase
4. Berichtsphase
5. Kontinuierliche Überprüfung im Entwicklungsprozess

Planungs- und Scoping-Phase

In der Planungs- und Scoping-Phase werden Rahmen, Ziele, Umfang, Zeitpläne und Ressourcen klar definiert, um eine reibungslose und zielgerichtete Durchführung zu gewährleisten.

Festlegung Scope

Der Scope einer Quellcode Auditierungierung legt fest, welche Teile des Quellcodes in den Test einbezogen werden sollen, um sicherzustellen, dass alle kritischen Bereiche hinsichtlich ihrer Sicherheit überprüft werden.

Festlegung Durchführungszeitraum

Im Scoping-Prozess wird ein Durchführungszeitraum festgelegt, in dem die Quellcode Auditierung durchgeführt wird. Dieser variiert stark und wird anhand der folgenden Faktoren festgelegt:

• Größe des Quellcodes in der Versionsverwaltung
• Testtiefe
• Komplexität der Businesslogik
• Software-Stack

Durchführungsphase

In der Durchführungsphase eines Quellcode Auditierungs oder API Penetrationstest werden Techniken wie Dynamic Application Security Testing (DAST) eingesetzt, um Schwachstellen aufzudecken, es wird besonderer Fokus auf die OWASP Top 10 und Business-Logik-Fehler gelegt.

Dabei wird besonderen Fokus auf spezifische Herausforderungen der Einzelnen Sprachen gelegt:

• PHP: Input-Validierung, SQL-Injection, XSS (Cross-Site Scripting) und CSRF (Cross-Site Request Forgery)
• Java: Log4J, Speicherverwaltung, Serialisierung
• JavaScript: Cross-Site Scripting (XSS), CORS (Cross-Origin Resource Sharing)
• Python: Abhängigkeiten, Runtime-Fehler
  

Weniger seriöse Anbieter verlassen sich oft ausschließlich auf automatisierte Scans, die komplexe und kontextspezifische Sicherheitslücken übersehen.

Einsparung von Lizenzgebühren

Ein weiterer großer Vorteil bei der Zusammenarbeit mit externen Auditoren für Quellcode Auditierungen sind die eingesparten Lizenzgebühren für Static Application Security Testing (SAST) Tools.

Als IT-Sicherheitsfirma erwirbt man eine Vielzahl von Lizenzen für diverse Schwachstellenscanner und Auditierungssoftware, die bei Quellcode Auditierungs zum Einsatz kommen. Die Anschaffung dieser Lizenzen kann schnell zu vierstelligen monatlichen Ausgaben führen, die bei der Beauftragung von externen Spezialisten eingespart werden können.

Analyse- und Auswertungsphase

In der Analyse- und Auswertungsphase werden die gesammelten Daten aus dem Quellcode Auditierung untersucht, um Schwachstellen zu identifizieren und deren Risiken zu bewerten.

Reporting

Nach jeder Quellcode Auditierung erhalten Kunden einen umfassenden Bericht, der die gefundenen Schwachstellen sowie deren Auswirkungen und Risikobewertungen detailliert beschreibt.

Berichte von PWND Labs erleichtern die Einschätzung der Dringlichkeit notwendiger Maßnahmen, da sie die Schwachstellen nach Schweregrad priorisieren. Darüber hinaus bieten wir praxisnahe Lösungs- und Verbesserungsvorschläge hinsichtlich der Sicherheitsarchitektur an. Diese Vorschläge sind darauf ausgelegt, spezifische Sicherheitslücken zu schließen und die langfristige Resilienz des Quellcodes zu stärken.

Berichtsphase

Besprechung von Erfahrungen und Erkenntnissen aus dem Quellcode Auditierung zur Verbesserung zukünftiger Sicherheitsmaßnahmen.

Management-Präsentation

Ausgabe und Diskussion des Berichts mit Entscheidungsträgern und CISO, um die nächsten Schritte zu planen.

Workshop mit Entwicklern

Ein Entwicklerworkshop dient dazu, Entwicklerteams gezielt in sicheren Programmierpraktiken zu schulen und das Bewusstsein für Sicherheitsschwachstellen zu erhöhen, um die Erstellung robuster und sicherer Anwendungen zu fördern.

Retest & Kontinuierliche Überprüfung

Zum Schluss wird überprüft, ob die behobenen Schwachstellen tatsächlich geschlossen wurden, und es werden fortlaufende Sicherheitsmaßnahmen implementiert, um neu auftretende Bedrohungen frühzeitig zu erkennen.

Retesting

Nach einer Quellcode Auditierung empfiehlt PWND Labs einen kurzen Retest nach 3-6 Monaten, um die erfolgreiche Behebung der Schwachstellen sicherzustellen.

Darüber hinaus werden regelmäßige Retests, entweder quartalsweise oder jährlich, empfohlen, um die Wirksamkeit der implementierten Sicherheitsmaßnahmen zu gewährleisten. Diese Retests helfen, neue Schwachstellen zu identifizieren und die kontinuierliche Integrität der Sicherheitsarchitektur zu sichern. Dadurch wird garantiert, dass das System stets gegen die neuesten Bedrohungen geschützt ist.

Kontinuierliche Überprüfung

Um die Sicherheitsarchitektur in der Development Pipeline zu stärken und regulatorische Anforderungen zu erfüllen, empfiehlt sich zusätzlich zu regelmäßigen Quellcode-Audits eine ständige Überprüfung des Codes im Entwicklungsprozess. Dies beinhaltet die Implementierung effektiver Sicherheitsautomatisierung in der Versionsverwaltung bzw. der Continuous Integration/Continuous Deployment (CI/CD) Pipeline.

Obwohl PWND Labs diese Dienstleistungen nicht direkt anbietet, können wir Ihnen dank unseres starken Partnernetzwerks klare und maßgeschneiderte Empfehlungen geben, um Ihre Sicherheitsmaßnahmen nachhaltig zu optimieren.