Floragasse 7 – 5th floor, 1040 Vienna

Architekturreview einer Applikation

Häufig findet sich die Ursache von Sicherheitsproblemen bereits im Design und in der Architektur von Anwendungen. Schwachstellen, die in dieser Phase ihren Ursprung haben, sind meist nur mit hohem Ressourcenaufwand zu beseitigen. Ein Design- und Architekturreview ist daher eine optimale Ergänzung zu Penetrationstests. Besonders empfehlenswert ist diese Art von Sicherheitsüberprüfung am Anfang der Entwicklung einer neuen Applikation, weil hier besonders ressourcenschonend Sicherheitsproblemen entgegengewirkt werden kann. Design- und Architekturreviews bieten auch einen hohen Lerneffekt für das Entwicklungsteam.

KundInnen schätzen an uns, dass wir beim Thema Aufbau, Design und Architektur von Applikationen schon zahllose verschiedene Ansätze analysiert haben und wissen, was nachhaltige Lösungen für Sicherheitsprobleme sind, und was langfristig eher zu Problemen führt. Mit diesem Wissen können zielgerichtete Empfehlungen ausgesprochen werden, die es ermöglichen, langfristig das gewünschte Sicherheitsniveau auch effizienter zu erreichen.

Unsere Leistung

Ein Architekturreview einer Applikation wird in Form eines Workshops durchgeführt, der typischerweise einen Tag in Anspruch nimmt. Das Testteam geht dabei häufig vorkommende und schwerwiegende Schwachstellenarten und Bedrohungen durch und erfragt jeweils, in welcher Weise diesen entgegengewirkt wird. Der Fokus liegt dabei stets darauf, dass Gegenmaßnahmen auf Architekturebene getroffen werden, die möglichst nachhaltig und möglichst wenig fehleranfällig sind. Bei diesem Workshop wird nicht nur stichprobenartig der Code eingesehen, sondern auch ein Augenmerk auf Gesamtarchitektur und Prozessthemen gelegt. Der Ablauf sieht wie folgt aus:

  1. Definition von Komponenten, Schnittstellen und Vertrauensgrenzen in der Applikationslandschaft
  2. Analyse der Angriffsfläche auf die Anwendung
  3. Identifizieren und Priorisieren von technischen Bedrohungen, die für die Anwendung und die verwendeten Technologien relevant sind
  4. Gemeinsames Erarbeiten eleganter, effektiver und effizient umzusetzender Gegenmaßnahmen auf Design- und Architekturebene
  5. Schriftliche Dokumentation der Ergebnisse

Auf Kundenseite sollten dabei Personen anwesend sein, die einen möglichst guten Überblick über die gesamte System- und Prozesslandschaft haben, aber auch relevante Codestellen finden können. Ideal ist eine Team-Zusammenstellung aus jeweils einer Person aus Architektur, Betrieb, Entwicklung und Teamleitung. Das Produkt muss für diese Art von Leistung nicht voll funktional und lauffähig sein.

Benefits

  • Sicherheitsprobleme in Applikationen erkennen und effektiv gegensteuern.
  • Elegante und ressourcensparende Lösungen für Sicherheitsprobleme entwickeln, noch bevor sie zu echten Problemen werden.
  • Security-Design-Patterns aus dem Workshop mitnehmen und damit den Entwicklungsprozess als Ganzes, auch für andere Anwendungen, verbessern.