Articles

O Que É Code Review? Saiba a Importância de Fazer Essa Revisão

By 8 de June de 2021 No Comments

*Renato Dante

O que é Code Review?

Code review é uma prática de revisão de código que é muito utilizada em projetos open source e por empresas de desenvolvimento de software e de information security.

No quesito de segurança ela se resume a vasculhar todo o código fonte de uma aplicação a procura de vulnerabilidades, sejam elas de lógica ou funções perigosas que podem trazer riscos a aplicação. Uma revisão segura do código não tenta identificar todas as vulnerabilidades do código, mas procura fornecer uma visão dos tipos de problemas existentes e ajudar os desenvolvedores da aplicação a compreender que classes de falhas estão presentes.

Uma revisão de código seguro foca em sete mecanismos de segurança, ou áreas:

  • Autenticação
  • Autorização
  • Gestão da sessão
  • Validação de dados
  • Tratamento de erros
  • Logging
  • Criptografia

Uma aplicação que é fraca em qualquer uma dessas áreas torna-se um alvo para um atacante e aumenta a probabilidade da aplicação ser utilizada num ataque. Uma revisão de código seguro deve informar os programadores da solidez do código fonte em cada uma destas áreas.

Manual vs. Automated Review

O code review pode ser abordado de forma automática ou manual, ambas as abordagens têm suas vantagens e desvantagens.

  1. Abordagem manual:

– Pesquisador irá olhar linha por linha tentando identificar vulnerabilidades.

– Exige um bom tempo de experiencia

– Exige muito tempo dependendo do tamanho da aplicação a ser testada

  1. Abordagem automatizada:

– Será utilizada uma ferramenta que irá procurar automaticamente por falhas de segurança no código

– O preço das ferramentas é relativamente alto

A melhor opção para uma revisão de código é entender todas as vantagens que a revisão manual e automatizada traz e com isso adaptar para que o trabalho seja feito da melhor maneira possível.

 Quando realizar um code review?

A segurança deve estar presente desde o início de um projeto, seja ela ajudando os desenvolvedores a escrever códigos mais seguros ou criando modelos de ameaça, entretanto o code review é mais efetivo no final da escrita do código fonte de um projeto, quando todas as funções e funcionalidades já foram desenvolvidas.

Limitações

Fazer uma revisão de código não necessariamente significa que todas as vulnerabilidades foram encontradas, ela é apenas uma das mais várias formas de implementar segurança no desenvolvimento de um software.

*Renato Dante é Trainee Cyber Security Consultant at [SAFEWAY]

 

About [SAFEWAY]

SAFEWAY is an Information Security company, recognized by its customers for offering high added value solutions, through Information Security projects that fully meet the needs of the business. In these years of experience, we have accumulated, with great pride, several successful projects that have earned us credibility and prominence in our clients, who constitute, in large part, the 100 largest companies in Brazil. Today through more than 22 strategic partnerships with global manufacturers and our SOC, SAFEWAY is considered a one stop shopping with the best technology, processes and people solutions.