Code Review (CR)

Il processo di Code Review ha come scopo l'identificazione di vulnerabilità all'interno del codice sorgente. Esso rappresenta una delle fasi più importanti per lo sviluppo di applicazioni sicure, permettendo di identificare eventuali problematiche di sicurezza prima che il software vada in produzione, riducendo sensibilmente i costi.

Poichè l'attività di Code Review ha un alto grado di complessità, è fondamentale che l'auditor abbia solide basi sui concetti di programmazione sicura, sulle maggiori tipologie di attacco e che abbia una buona confidenza con la lettura e analisi del codice.

Il servizio di Code Review offerto da ISGroup viene effettuato da un team di persone con anni di esperienza sia nella programmazione che nell'analisi dei sorgenti di grandi applicazioni.

ISGroup è il fornitore ideale per le Vostre necessità di Code Review e opera con serietà secondo standard internazionalmente riconosciuti grazie al costante impegno nell'ambito della ricerca.

Descrizione

Il processo si compone fondamentalmente di due fasi. In quella iniziale l'intera applicazione viene esaminata da uno o più tool di analisi statica. Tali tool hanno lo scopo di simulare l'esecuzione del codice e di identificarne le eventuali vulnerabilità. Questo approccio ha dei grossi vantaggi rispetto al solo testing dell'applicazione, perchè si ha piena consapevolezza del comportamento dell'applicazione.

Nella fase successiva si analizza manualmente il codice concentrandosi sulle parti più delicate dell'applicazione. L'analisi viene effettuata da un team eterogeneo di persone altamente specializzate, con il fine di identificare tutte le varie vulnerabilità che non sono immediatamente identificabili.

Questa seconda fase è necessaria poichè i tool automatici non sono in grado di identificare correttamente tutte le vulnerabilità a causa dell'intrinseca complessità di tale compito.

Output

Alla fine dell'attività viene presentato al cliente un Report composto di due sezioni:

Executive summary
Riassume le problematiche riscontrate nel codice sorgente dell'applicazione ed eventuali errori di implementazione. Inoltre fornisce una valutazione del livello generale di sicurezza.

Technical details
Indica per ogni problematica individuata la sezione dei sorgenti in oggetto, una spiegazione dettagliata del problema individuato e la sua soluzione (Remediation).

Video CR - Code Review

PodCast Spotify CR - Code Review

PodCast Apple CR - Code Review

Lavorare con noi è semplice, basta chiamare il numero (+39) 045 4853232 o inviare un e-mail per conoscerci e discutere delle tue necessità nell'IT Security.

Richiedi preventivo per
Code Review (CR)