Kapitel 19. Codeüberprüfung auf Sicherheit
Diese Arbeit wurde mithilfe von KI übersetzt. Wir freuen uns über dein Feedback und deine Kommentare: translation-feedback@oreilly.com
Die Codeüberprüfung muss in einer sicherheitsbewussten Organisation immer nach der Architekturphase stattfinden und niemals vorher.
Einige Technologieunternehmen halten sich heute an das Mantra "move fast and break things", aber eine solche Philosophie wird oft missbraucht und als Methode verwendet, um angemessene Sicherheitsprozesse zu ignorieren. Selbst in einem schnelllebigen Unternehmen ist es unerlässlich, dass die Anwendungsarchitektur vor der Auslieferung des Codes überprüft wird. Obwohl es aus Sicht der Sicherheit ideal wäre, die gesamte Funktionsarchitektur im Voraus zu überprüfen, ist dies unter unsicheren Bedingungen möglicherweise nicht möglich. Daher sollten zumindest die wichtigsten und bekanntesten Funktionen architektonisch geplant und überprüft werden, und wenn neue Funktionen auftauchen, sollten sie vor der Entwicklung ebenfalls architektonisch geplant und auf ihre Sicherheit überprüft werden.
Der richtige Zeitpunkt für die Überprüfung des Codes auf Sicherheitslücken ist dann, wenn die Architektur hinter dem Code-Commit ordnungsgemäß überprüft wurde. Das bedeutet, dass Codeüberprüfungen der zweite Schritt in einer Organisation sein sollten, die bewährte Methoden zur sicheren Entwicklung anwendet.
Das hat zwei Vorteile. Der erste und offensichtlichste Vorteil ist der der Sicherheit, aber ...
Get Sicherheit von Webanwendungen now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
