Quellcodeanalysen

Quellcodeanalysen

Context ist Experte im Bereich Softwaresicherheit und führt regelmäßig Quellcodeanalysen für einige der weltweit größten Unternehmen durch.

Die Analyse eines Quellcodes ermöglicht es, einen tiefen Einblick in eine Anwendung zu bekommen und so komplexe Schwachstellen aufzudecken, die mit einem traditionellen Black-Box-Ansatz oftmals nicht identifiziert werden können.

Warum Context?

Unsere Consultants verfügen unter anderem über Erfahrung in den Bereichen Softwareentwicklung, Penetrationstests sowie in sicheren Programmiertechniken, was es uns erlaubt qualitativ hochwertige Überprüfungen von Quellcode zuversichtlich vorzunehmen.

Dies zeigt sich auch in den Forschungsergebnissen von Context’s unabhängigem Vulnerability Research Team, das zahlreiche Schwachstellen in anspruchsvollen Software-Produkten einschließlich Java, Microsoft .NET sowie in modernen Browsern wie Mozilla Firefox und Chrome identifiziert und veröffentlicht hat.

Wir können Ihr Unternehmen mit folgenden Angeboten unterstützen: 

  • Überprüfung eines neuen oder bestehenden Quellcodes zur Identifizierung von Schwachstellen vor dessen Veröffentlichung, um das Markenimage und Verbrauchervertrauen aufrechtzuerhalten
  • Überprüfung von Produktquellcode, um im Rahmen eines Due-Diligence-Prozesses während Mergers und Acquisitions Sicherheit zu gewährleisten
  • Gemeinsam mit Ihrem Unternehmen arbeiten wir daran, Quellcodeanalysen in den Software Development Life Cycle (SDLC) zu integrieren und somit eine kontinuierliche Qualitätsverbesserung bei der Entwicklung von Software zu gewährleisten
  • Schulungen zur sicheren Softwareentwicklung

Context kann Quellcodeanalysen für Web-, Mobile-, IoT- sowie Desktop-Anwendungen durchführen und wendet dabei die folgenden Verfahren an:

Statische Analyse

Eine rein statische Analyse des Quellcodes ist dann sinnvoll, wenn keine lauffähige Version der Software bereitgestellt werden kann. 
Sie ist ebenso vorteilhaft wenn die Bereitstellung des gesamten Quellcodes nicht möglich ist, die Überprüfung nur für eine Softwarekomponente erforderlich ist oder wenn eine automatisierte Prüfung benötigt wird. 

Die folgenden Techniken können bei der statischen Analyse auf Kundenwunsch eingesetzt werden:

  • Manuelle Überprüfung 
    Unsere Sicherheitsexperten sind in der Lage, jene Schwachstellen im Quellcode manuell zu identifizieren, die durch ein automatisiertes Programm nicht auffindbar sind. Solche Sicherheitslücken können typischerweise in der Anwendungslogik oder in kritischen Funktionalitäten wie der Zugriffskontrolle vorhanden sein.
  • Automatisiert
    Eine vollautomatisierte Methodik kann angewendet werden, um eine breite Abdeckung bei der Identifizierung einiger der am meisten verbreiteten Schwachstellen sicherzustellen.
  • Kombiniert
    Die Verwendung von manuellen und automatisierten Ansätzen kann genutzt werden, um eine sowohl tiefgehende als auch breite Abdeckung bei einer Analyse zu gewährleisten. Automatisierung kann dabei helfen, Bereiche für weitere Untersuchungen effizient zu identifizieren und ermöglicht es unseren Sicherheitsexperten, mehr Zeit für die gezielte Überprüfung von sicherheitskritischen Softwarekomponenten zu verwenden.
  • Gezielte Prüfung bestimmter Bereiche
    Bestimmte Bereiche des Quellcodes werden gezielt überprüft und analysiert. In der Regel handelt es sich hierbei um die Bereiche, in denen sicherheitsrelevante Funktionalitäten implementiert werden.

Weitere Informationen

Sie möchten ein Angebot erhalten oder mehr über unsere Quellcodeanalysen erfahren? Sprechen Sie mit unseren Experten:

CBEST
CREST STAR
CHECK IT Health Check Service
CREST
Cyber Essentials
CESG Certified Service
First - Improving Security Together
BSI ISO 9001 FS 581360
BSI ISO 27001 IS 553326
Allianz für Cyber-Sicherheit