Перевірка безпеки вихідного коду – це спеціалізоване завдання, що включає ручну і автоматичну перевірку вихідного коду програми з метою виявити недоліки, пов’язані з безпекою в коді.
Перевірка безпеки коду інформує розробників про надійність вихідного коду в кожній з наступних областей:
• Авторизація
• Управління сесіями
• Шифрування
• Перевірка даних
• Обробка помилок
• Ведення журналів подій
• Аутентифікація
Коли виконувати перевірку безпеки коду
Безпека повинна бути в центрі уваги протягом усього життєвого циклу розробки. Створення моделей загроз на етапі проектування, навчання розробників методам безпечного кодування і проведення регулярних експертних перевірок коду із залученим персоналом служби безпеки – все це допоможе підвищити загальну якість коду та зменшити число повідомлень про проблеми безпеки коду.
Проте, цю послугу найкраще використовувати в кінці розробки вихідного коду, коли більшість або всі функціональні можливості вже реалізовані. Причина очікування до пізньої стадії розробки полягає в тому, що перевірка безпеки коду коштує дорого і займає багато часу. Виконання цього один раз в кінці процесу розробки допомагає знизити витрати.
Ручна або автоматична перевірка
Технологія автоматизованих інструментів ефективна тільки при виявленні певних типів недоліків. Один автоматизований інструмент може бути корисний при виявленні деяких проблем, але не може виявити інші. У зв’язку з чим, спеціалісти R&B Тeam практикують використання декількох автоматизованих інструментів, що допомагають пом’якшити цю проблему, але не гарантує виявлення всіх проблем. Автоматизовані інструменти також мають тенденцію надавати помилкові спрацьовування (повідомляються результати, які насправді не є проблемами). Оцінка помилкових спрацьовувань вимагає втручання людини та забирає час у команди розробників.
Наша компанія використовує найкращий підхід для перевірки безпеки коду, він полягає у розумінні переваг та недоліків кожного методу і їх включення у разі потреби.
