Was ist das Beste für Ihr Code Review Projekt - wenn Sie kontinuierlich nach Schwachstellen scannen oder ein einmaliges Audit durchführen?
Wenn es darum geht, Codezeilen aus Sicherheitsgründen zu untersuchen, stehen Entwickler und ihre Manager vor einigen interessanten Entscheidungen. Code Reviews können bei Bedarf mit Scan-Tools durchgeführt werden, die nach Schwachstellen suchen und Strategien zur Behebung oder Minderung empfehlen. Andererseits können sich Entwickler auch dafür entscheiden, diese Scan Tools in die Entwicklungsumgebung zu integrieren - normalerweise auf IDE-Ebene -, um Code-Prüfungen zum Bestandteil jeder Code-Änderung, jedes Release-Pakets zu machen.
Â
Continuous Scan by Kiuwan bietet IDE-Plug-ins zur direkten Integration in den Entwicklungsprozess. Zu den unterstützten IDE-Plug-Ins gehören Eclipse, IntelliJ und Visual Studio. Die Scanergebnisse kann man direkt in IDE-Viewer-Panels ziehen. Auf diese Weise können Entwickler mit minimalem Aufwand (normalerweise ein einziger Klick) direkt zu einzelnen Codezeilen springen, die aktuell Aufmerksamkeit erfordern. Mit einer Technik namens Static Application Security Testing (SAST) kann das Kiuwan-IDE-Plugin auch im Analysemodus ausgeführt werden. Dadurch können Entwickler sowohl beim Schreiben von Code als auch während der Testphasen nach Schwachstellen suchen. Dies bietet die beste und engste Integration von Sicherheitsscans in den Entwicklungsprozess.
Â
Auf lange Sicht gesehen bietet jedoch die kontinuierliche Integration von Sicherheitsscans in den Entwicklungsprozess die beste Risikomanagement-Strategie für die Softwareentwicklung, insbesondere für Produkte, die an Drittkunden lizenziert werden. Setzen Sie sich mit EasiRun über die Website www.easirun.de in Verbindung, um mehr zu den Lizenzmodellen und den Kosten zu errfahren.
Â
Die tatsächlichen Kosten für die Codesicherheit müssen letztendlich auch die Kosten für die Schadensbegrenzung und -behebung umfassen, wenn nach dem Deploy Sicherheitsprobleme auftreten. Außerdem gibt es berechtigte und wachsende Bedenken hinsichtlich der Haftung, die durch (Sammel-) Klagen entstehen könnten. Sicherheit funktioniert am besten, wenn sie Bestandteil des gesamten Software-Lebenszyklus ist. Kontinuierliches Scannen (und seine Integrationsfunktionen) sind der sicherste Weg, wenn es darum geht, einen möglichst sicheren Code zu erstellen.
Â
Â
Â
Quelle:Â Kiuwan
Autor: Ed Tittel, langjähriger Autor und Berater der IT-Branche, der sich auf Fragen der Netzwerk-, Sicherheits- und Webtechnologien spezialisiert hat.
Kommentare
Pressemitteilungstext: 291 Wörter, 2691 Zeichen. Artikel reklamieren
Tragen Sie jetzt Ihre kostenlose Pressemitteilung ein!