Kapitel 25. Codeüberprüfung auf Sicherheit
Diese Arbeit wurde mithilfe von KI übersetzt. Wir freuen uns über dein Feedback und deine Kommentare: translation-feedback@oreilly.com
Die Codeüberprüfung muss in einer sicherheitsbewussten Organisation immer nach der Architekturphase stattfinden - und nicht davor.
Einige Technologieunternehmen halten sich heute an das Mantra "move fast and break things", aber eine solche Philosophie wird oft missbraucht und als Methode verwendet, um angemessene Sicherheitsprozesse zu ignorieren. Selbst in einem schnelllebigen Unternehmen ist es unerlässlich, dass die Anwendungsarchitektur vor der Veröffentlichung des Codes überprüft wird. Obwohl es aus der Sicherheitsperspektive ideal wäre, die gesamte Funktionsarchitektur im Voraus zu überprüfen, ist das unter unsicheren Bedingungen vielleicht nicht machbar. Zumindest die wichtigsten und bekanntesten Funktionen sollten in der Architektur enthalten sein und überprüft werden. Wenn neue Funktionen auftauchen, sollten sie vor der Entwicklung sowohl architektonisch als auch sicherheitstechnisch überprüft werden.
Der richtige Zeitpunkt für die Überprüfung des Codes auf Sicherheitslücken ist, wenn die Architektur hinter dem Code-Commit ordnungsgemäß überprüft wurde. Das bedeutet, dass Codeüberprüfungen der zweite Schritt in einer Organisation sein sollten, die bewährte Methoden zur sicheren Entwicklung anwendet.
Das hat zwei Vorteile. Der erste und offensichtlichste Vorteil ist der der Sicherheit, aber es hat ...
Get Web Application Security, 2. Auflage now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
