2016 – editie 5

Een security code review is een zeer effectieve manier om beveiligingslekken boven water te krijgen. Het legt lekken bloot, die van buitenaf niet of nauwelijks zichtbaar zijn en geeft een goed beeld van het algehele beveiligingsniveau van een applicatie. Is er bijvoorbeeld defensief geprogrammeerd en zijn algemene security best practices meegenomen tijdens het ontwerp en de bouw? Denk hierbij bijvoorbeeld aan de maatregelen, die nodig zijn om veelvoorkomende beveiligingslekken (zoals benoemd in de OWASP Top-10 [1]) te voorkomen.

Er ontstaat steeds meer software om ons heen, waardoor uiteraard ook de hoeveelheid legacy code toeneemt. Het logisch gevolg hiervan is dat je als Java developer steeds vaker met legacy code te maken krijgt. Het boek “Your Code as a crime scene” haakt hier uitstekend op in. De in het boek beschreven methoden helpen je om snel inzicht te krijgen in de code base van grote softwareprojecten, zonder dat je zelf de code in details hoeft door te nemen. Zo heb ik het boek gebruikt om enkele projecten te analyseren, waaronder een project met een grootte van zo’n 800.000 regels code.