Floragasse 7 – 5th floor, 1040 Vienna

Quellcode-Audits

Für einen White-Box-Test wird dem Testteam der gesamte Quellcode der Applikation und eine laufende Instanz zur Verfügung gestellt. Somit erzielt ein manuelles Quellcode-Audit eine wesentlich bessere Abdeckung, ist jedoch mit einem erhöhten Aufwand verbunden. Um das manuelle Quellcode-Audit möglichst effizient zu gestalten, kann es in Kombination mit einer automatisierten, statischen Quellcode-Analyse durchgeführt werden. Bei dieser automatisierten Quellcode-Analyse setzt das Testteam vorab evaluierte Programme ein, die jeweilige Anwendbarkeit ist jedoch von der verwendeten Programmiersprache abhängig. Um False Positives in den automatisierten Ergebnissen zu vermeiden, führt das Testteam eine manuelle Verifikation dieser Ergebnisse durch.

Zusätzlich zur manuellen und automatisierten Quellcode-Analyse wird die Applikation ergänzend dynamisch getestet, um auch Schwachstellen in der Anwendungslogik zu identifizieren. Dadurch kann garantiert werden, dass in der zur Verfügung stehenden Zeit die bestmögliche Abdeckung erzielt wird.

Allgemeiner Ablauf eines Quellcode-Audits

Zur Steigerung der Ergebnisqualität und der Effizienz wird zu Testbeginn eine Einführung in den Quellcode durch das Entwicklungsteam empfohlen. Ebenso sollte während des gesamten Testzeitraums eine Ansprechperson des Entwicklungsteams für Fragen zur Verfügung stehen. Die Erfahrung hat gezeigt, dass das Entwicklungsteam durch die aktive Einbindung in den Test ein besseres Verständnis für die Schwachstellen erlangt, wodurch die anschließende Behebung leichter fällt und dieselbe Schwachstelle zukünftig vermieden wird. Außerdem können mit der Unterstützung der Ansprechperson komplizierte Funktionen und deren Abhängigkeiten untereinander schneller nachvollzogen und auf Schwachstellen analysiert werden. Eine enge Zusammenarbeit hat somit positive Auswirkungen auf die Testqualität, die Ergebnisse und auf die zukünftigen Entwicklungen der beteiligten Personen.

Vorteile des Quellcode-Audits

  • Die Applikation wird sowohl statisch als auch dynamisch auf Schwachstellen getestet. Auf diese Weise werden alle Schwachstellenkategorien (beispielsweise auch Schwachstellen in der Anwendungslogik) überprüft.
  • Durch die automatisierte, statische Quellcode-Analyse wird eine sehr gute Abdeckung erzielt.
  • Die enge Zusammenarbeit mit dem Entwicklungsteam fördert das allgemeine Verständnis für (die identifizierten) Schwachstellen im Quellcode und eine zukünftige Vermeidung dieser.

Arten von Quellcode-Audits

  • Manuelles Quellcode-Audit (inklusive dynamischer Tests)
  • Automatisiertes Quellcode-Audit (inklusive dynamischer Tests)
  • Eine Kombination aus manuellen und automatisierten Quellcode-Audit

This Website uses Cookies. more information

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close