IT-Connection

Posts 1-3 of 3

Marcel Sigel Premium Member
The company name is only visible to registered members.

Wer hat Erfahrung in Source-Code-Audit?
Ich bin mir am überlegen, eine (von einem externen Provider) entwickelte Software, einem Source-Code-Audit unterziehen zu lassen (wiederum von einem externen Dritten).
Hat jemand bereits Erfahrung in dem? Wie war die allgemeine Erkenntnis?
Vielen Dank für Inputs.
- 29 Dec 2011, 10:53 am
Marcel Sigel wrote: > Ich bin mir am überlegen, eine (von einem externen Provider) > entwickelte Software, einem Source-Code-Audit unterziehen zu lassen > (wiederum von einem externen Dritten). > Hat jemand bereits Erfahrung in dem? Wie war die allgemeine > Erkenntnis? > Vielen Dank für Inputs.
Manfred Greil Premium Member
The company name is only visible to registered members.

Re: Wer hat Erfahrung in Source-Code-Audit?
Hallo,
wir hatten diese Dienstleistung im Angebot, jedoch hat es sich als wesentlich kostengünstiger und besser erwiesen, die Applikation auf Schwachstellen mittels Scanner (z.B. burp) und manuell zu testen. Gründe dafür sind, dass eine Web-Applikation selten unverändert bleibt. Bei Sourcode-Analyse ist aufgrund der Einstiegspunkte bei jeder Änderung eigentlich eine neue Analyse fällig, beim Schwachstellenscan ist ein Test (automatisch und manuell) der Applikation nur im Bereich der Änderungen notwendig.
Zudem ergibt ein Schwachstellenscan ein Protokoll mit eben diesen Schwachstellen, welches in einer WAF mittels eines Regelwerkes sofort gepatcht werden kann. Simit bleibt den Developern die Zeit, die Fehler ordentlich zu beheben und nicht wie meist unter Druck "quick and dirty".

Falls detailliertere Auskunft notwendig ist, bitte ich um Info, da ich noch zu einigen Leuten aus der OWASP Kontakt habe.

Gruß

Manfred Greil
- 29 Dec 2011, 11:46 am
Manfred Greil wrote: > Hallo, > wir hatten diese Dienstleistung im Angebot, jedoch hat es sich als > wesentlich kostengünstiger und besser erwiesen, die Applikation auf > Schwachstellen mittels Scanner (z.B. burp) und manuell zu testen. > Gründe dafür sind, dass eine Web-Applikation selten unverändert > bleibt. Bei Sourcode-Analyse ist aufgrund der Einstiegspunkte bei > jeder Änderung eigentlich eine neue Analyse fällig, beim > Schwachstellenscan ist ein Test (automatisch und manuell) der > Applikation nur im Bereich der Änderungen notwendig. > Zudem ergibt ein Schwachstellenscan ein Protokoll mit eben diesen > Schwachstellen, welches in einer WAF mittels eines Regelwerkes sofort > gepatcht werden kann. Simit bleibt den Developern die Zeit, die > Fehler ordentlich zu beheben und nicht wie meist unter Druck "quick > and dirty". > > Falls detailliertere Auskunft notwendig ist, bitte ich um Info, da > ich noch zu einigen Leuten aus der OWASP Kontakt habe. > > Gruß > > Manfred Greil
Post visible to registered members

IT-Connection

Wer hat Erfahrung in Source-Code-Audit?

Re: Wer hat Erfahrung in Source-Code-Audit?