Die Anwendbarkeit ist ein grundlegendes Konzept bei der Code-Review und erstreckt sich auf nahezu alle Softwareentwicklungskontexte, unabhängig von den verwendeten Technologien oder der Art der betreffenden Anwendung.

Die Code-Review ist eine vielseitige Praxis, die in verschiedenen Entwicklungsumgebungen angepasst und angewendet werden kann, um die Sicherheit und die allgemeine Qualität der Software zu verbessern.

Anwendbarkeit in verschiedenen Programmiersprachen

Einer der Schlüsselaspekte der Anwendbarkeit von Code-Reviews ist ihre Fähigkeit, in einer Vielzahl von Programmiersprachen eingesetzt zu werden. Obwohl einige Review-Techniken in bestimmten Sprachen effektiver sind, können die grundlegenden Prinzipien überall angewendet werden. Zum Beispiel:

• C#/.NET und Java: Diese objektorientierten Sprachen werden häufig für die Entwicklung von Unternehmensanwendungen verwendet. Die Code-Review in diesen Umgebungen konzentriert sich oft auf die Ausnahmebehandlung, die Sitzungssicherheit und den Schutz vor häufigen Schwachstellen wie SQL-Injection und Cross-Site Scripting (XSS).
• C/C++: In diesen Sprachen, die eine direktere Kontrolle über den Speicher bieten, ist die Code-Review entscheidend, um Schwachstellen im Zusammenhang mit Pufferüberläufen, Null-Pointern und anderen Problemen der Speicherverwaltung zu verhindern.
• PHP: PHP wird hauptsächlich in der Webentwicklung eingesetzt und erfordert besondere Aufmerksamkeit bei der Verarbeitung von Benutzereingaben sowie beim Schutz vor häufigen Angriffen wie SQL-Injection und XSS.

Unabhängig von der verwendeten Sprache besteht das Ziel der Code-Review darin, Schwachstellen zu identifizieren, die von einem Angreifer ausgenutzt werden könnten. Die Werkzeuge und Techniken können variieren, aber die Grundprinzipien bleiben dieselben.

Anwendbarkeit der Code-Review in verschiedenen Entwicklungsumgebungen

Die Code-Review ist in einer Vielzahl von Entwicklungsumgebungen anwendbar, von denen jede ihre eigenen Herausforderungen und Überlegungen mit sich bringt:

• Webentwicklung: Die Code-Review ist bei der Entwicklung von Webanwendungen besonders kritisch, da öffentliche Schnittstellen die Software einer Vielzahl von Bedrohungen aussetzen. Hier liegt der Fokus auf Aspekten wie Eingabevalidierung, sicherer Sitzungsverwaltung und der korrekten Verwendung von APIs.
• Mobile Entwicklung: Im Kontext mobiler Anwendungen konzentriert sich die Code-Review auf den sicheren Umgang mit lokalen Informationen, wie z. B. Benutzeranmeldedaten, sowie auf den Schutz der Kommunikation zwischen der mobilen Anwendung und den Backend-Diensten.
• Desktop-Anwendungen: Bei Desktop-Anwendungen kann die Code-Review die Bewertung umfassen, wie die Anwendung mit lokalen Ressourcen wie Dateien und der Registrierung umgeht und wie sie Benutzerdaten vor unbefugtem Zugriff schützt.
• Eingebettete Systeme und IoT: In diesen Umgebungen, in denen die Ressourcen begrenzt sein können und die physische Sicherheit gefährdet sein könnte, konzentriert sich die Code-Review auf strenge Speicherkontrollen und Techniken zur Verhinderung von Privilegieneskalationen.

Anwendbarkeit in den verschiedenen Phasen des Software-Lebenszyklus

Die Code-Review sollte nicht als eine Aktivität angesehen werden, die nur am Ende der Entwicklung durchgeführt wird. Sie ist tatsächlich in verschiedenen Phasen des Software-Lebenszyklus anwendbar und nützlich:

• Während der Entwicklung: Die Code-Review kann in die frühen Entwicklungsphasen integriert werden, um Probleme zu identifizieren, bevor sie zu tief verwurzelt sind. Zum Beispiel können Prüfer während der Programmierung neuer Funktionen sicherstellen, dass bewährte Sicherheitsverfahren angewendet werden.
• Kontinuierliche Integration: In Agile- oder DevOps-Umgebungen, in denen der Code ständig aktualisiert und integriert wird, kann die Code-Review teilweise automatisiert und durch manuelle Überprüfungen ergänzt werden, um sicherzustellen, dass jeder Commit hohe Sicherheitsstandards einhält.
• Testen und Vor-Release: Vor der Veröffentlichung der Software kann eine abschließende Code-Review helfen, verbleibende Schwachstellen zu identifizieren und sicherzustellen, dass das Endprodukt so sicher wie möglich ist.

Anpassungsfähigkeit an die spezifischen Bedürfnisse des Unternehmens

Jedes Unternehmen hat spezifische Sicherheitsanforderungen, und die Code-Review kann angepasst werden, um diese Anforderungen zu erfüllen. In regulierten Branchen wie dem Finanz- oder Gesundheitswesen können beispielsweise Compliance-Richtlinien (z. B. PCI-DSS, HIPAA) strengere und dokumentierte Code-Reviews erfordern. Im Gegensatz dazu könnte ein Technologie-Startup einen schlankeren Ansatz wählen und sich auf schnelle, aber effektive Reviews konzentrieren, um die für das Entwicklungstempo erforderliche Agilität zu wahren.

Vorteile der Code-Review

Die universelle Anwendbarkeit der Code-Review bietet zahlreiche Vorteile, darunter:

• Risikominderung: Das Identifizieren und Beheben von Schwachstellen vor der Veröffentlichung der Software reduziert das Risiko von Angriffen erheblich.
• Verbesserung der Code-Qualität: Die Code-Review verbessert nicht nur die Sicherheit, sondern kann auch die allgemeine Qualität des Codes steigern, indem logische Probleme und Fehler identifiziert sowie die Wartbarkeit der Software verbessert werden.
• Anpassungsfähigkeit und Skalierbarkeit: Die Techniken der Code-Review können je nach Projektgröße und verfügbaren Ressourcen angepasst und skaliert werden, was sie zu einer vielseitigen Praxis macht, die für jede Art von Organisation geeignet ist.

🔙 Zurück zur Mini-Serie von ISGroup SRL zum Thema Code-Review!