Code Review / Koodikatselmointi
Code Review
A code review is a service for assessing the source code of an application to verify the proper implementation of security controls. By reviewing the source code, it can be determined if the application design is “self-defending” in nature, and does not contain vulnerable functions.
Code review focuses on following areas:
- Characteristics of application’s information security controls
- Input/output control
- Access control
- Application configuration
Code review is a way to gain confirmation of secure application development. Assessments of code readability and transferability can be added to the service.
Koodikatselmointi
Koodikatselmoinnissa tarkastetaan kohdesovelluksen tietoturvakontrollien laatu lähdekoodin perusteella. Koodikatselmoinnin avulla varmistetaan että sovellus on suunniteltu ’itsepuolustavaksi’ ympäristössään, eikä sisällä turvallisuus-näkökulmasta huonoja funktioita.
Koodikatselmointi keskittyy seuraaviin osa-alueisiin:
- Sovelluksen tietoturvan erityispiirteet (mikäli tiedossa/olemassa)
- Sovelluslogiikan syötteen käsittely (input/output control)
- Liiketoimintalogiikan pääsynhallinta (access control)
- Sovelluksen konfiguraatio
Koodikatselmoinnin avulla saadaan varmuus siitä, että sovelluksen kehittämisessä on käytetty tietoturvan kannalta hyviä menetelmiä. Katselmointiin on mahdollista liittää koodin luettavuuden ja siirrettävyyden arviointi.