*Renato Dante
O que é Code Review?
Code review é uma prática de revisão de código que é muito utilizada em projetos open source e por empresas de desenvolvimento de software e de segurança da informação.
No quesito de segurança ela se resume a vasculhar todo o código fonte de uma aplicação a procura de vulnerabilidades, sejam elas de lógica ou funções perigosas que podem trazer riscos a aplicação. Uma revisão segura do código não tenta identificar todas as vulnerabilidades do código, mas procura fornecer uma visão dos tipos de problemas existentes e ajudar os desenvolvedores da aplicação a compreender que classes de falhas estão presentes.
Uma revisão de código seguro foca em sete mecanismos de segurança, ou áreas:
- Autenticação
- Autorização
- Gestão da sessão
- Validação de dados
- Tratamento de erros
- Logging
- Criptografia
Uma aplicação que é fraca em qualquer uma dessas áreas torna-se um alvo para um atacante e aumenta a probabilidade da aplicação ser utilizada num ataque. Uma revisão de código seguro deve informar os programadores da solidez do código fonte em cada uma destas áreas.
Manual vs. Automated Review
O code review pode ser abordado de forma automática ou manual, ambas as abordagens têm suas vantagens e desvantagens.
Abordagem manual:
– Pesquisador irá olhar linha por linha tentando identificar vulnerabilidades.
– Exige um bom tempo de experiencia
– Exige muito tempo dependendo do tamanho da aplicação a ser testada
Abordagem automatizada:
– Será utilizada uma ferramenta que irá procurar automaticamente por falhas de segurança no código
– O preço das ferramentas é relativamente alto
A melhor opção para uma revisão de código é entender todas as vantagens que a revisão manual e automatizada traz e com isso adaptar para que o trabalho seja feito da melhor maneira possível.
Quando realizar um code review?
A segurança deve estar presente desde o início de um projeto, seja ela ajudando os desenvolvedores a escrever códigos mais seguros ou criando modelos de ameaça, entretanto o code review é mais efetivo no final da escrita do código fonte de um projeto, quando todas as funções e funcionalidades já foram desenvolvidas.
Limitações
Fazer uma revisão de código não necessariamente significa que todas as vulnerabilidades foram encontradas, ela é apenas uma das mais várias formas de implementar segurança no desenvolvimento de um software.
Sobre a [SAFEWAY]
A SAFEWAY é uma empresa de Segurança da Informação, reconhecida pelos seus clientes por oferecer soluções de alto valor agregado, através de projetos em Segurança da Informação que atendam integralmente às necessidades do negócio. Nesses anos de experiência, acumulamos, com muito orgulho, diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte, as 100 maiores empresas do Brasil. Hoje através de mais de 22 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas.
