In vielen großen Software Projekten wird mit

• Softwaremetriken,
• Unit Tests,
• Code Coverage Analysen
• und automatisierten Angriffs Tools

für Qualität und Sicherheit gesorgt. Gegen diese Tools ist nichts zu sagen und der Einsatz ist oft unerlässlich aber leider wird oft eine menschlicher Code Review weggelassen. Diese sind aber wesentlich effektiver und bedürfen auch keiner Einarbeitungszeit. Optimalerweise prüft ein Software Architekt den Code nach der Entwicklung einer Phase. Oft würde es aber auch schon reichen wenn wenigstens ein Kollege den Code betrachtet.

Heute musste ich mal wieder feststellen welche gravierenden Sicherheitslücken man finden kann wenn man einfach mal den gesamten Code quer liest. Beim Coden hat man oft nicht den Blick für das Gesamte und ist auf die Problemlösung im Detail konzentriert. Dabei können dann Sicherheitslücken entstehen, die erst sichtbar werden, wenn man das Zusammenspiel aller Komponenten betrachtet.

Deshalb gilt für mich: Regelmäßige Code Reviews erhöhen die Sicherheit enorm.

Tags: sicherheit

Der Beitrag wurde am Dienstag, den 09. Dezember 2008 um 19:20 Uhr veröffentlicht und wurde unter Internet abgelegt. du kannst die Kommentare zu diesen Eintrag durch den RSS 2.0 Feed verfolgen. du kannst einen Kommentar schreiben, oder einen Trackback auf deiner Seite einrichten.