Secure Verification

 

Können Sie gewährleisten, dass der Quellcode, den Sie unter Ihrer Escrow Vereinbarung hinterlegt haben keine Sicherheitsschwachstellen aufweist?

Die „Secure Verification“ stellt unabhängig sicher, dass der Quellcode und die zugehörigen Dateien, die unter der Escrow Vereinbarung hinterlegt wurden, durch ein Prüfverfahren verifiziert wurden, um Sicherheitsschwachstellen zu identifizieren, die im Quellcode der Anwendung vorhanden sind.

Da der Service auf die einzelnen Komponenten der Applikation abgestimmt ist, sollte die Codeanalyse frühzeitig im Entwicklungszyklus durchgeführt und während der gesamten Lebensdauer der Applikation wiederholt werden. Die Codeanalyse bietet den Entwicklern sofortige Rückmeldungen zu Problemen und Schwachstellen, die während der Entwicklung in den Quellcode implementiert wurden, so dass Sie alle während der Prüfung identifizierten Schwachstellen identifizieren und korrigieren können.

Vorteile der „Secure Verification“

Fully Managed Service: Die „Secure Verfication“ wird von einem unserer erfahrenen Sicherheitsberater ausgeführt. Als Teil des Dienstes werden wir einen umfassenden Bericht über die Prüfergebnisse erstellen, die es dem Entwickler ermöglichen, sämtliche Schwachstellenbeseitigungen durchzuführen.

Marktführende Technologien: Wir nutzen marktführende Enterprise-Code-Verifizierungs- und Analyse-Tools, um Codeanalysen auf einer Vielzahl von Programmiersprachen durchzuführen. Die Tests liefern genaue und wertvolle Ergebnisse, die vor der Bereitstellung manuell durch einen Sicherheitsberater überprüft werden.

Ergebnisvalidierung: Die Vergabe der Durchführung der „Secure Verification“ erfolgt an einen erfahrenen Sicherheitsberater. Es wird eine manuelle Validierung durchgeführt, die mit einem „False-Positive“ Abgleich sicherstellt, dass die Testergebnisse maximale Zuverlässigkeit bieten. 

 

Arten von „Secure Verification“ 

Welche Stufe der „Secure Verification“ passt am besten zu Ihnen? 

Gleich ob Sie die „End-to-End-Build“ Prozesse innerhalb der Umgebung des Softwareentwicklers, des Lizenznehmers oder eines Dritten überprüfen und dokumentieren möchten, beinhalten alle „Secure Verification“ Dienste einen statischen Anwendungssicherheitstest (SAST) sowie eine manuelle Ergebnisvalidierung, welche von einem Experten der NCC Group durchgeführt wird.

Secure Basis Vollverifikation

Die Secure Basis Vollverifikation bietet alle Vorteile einer Basis Vollverifikation, indem sichergestellt wird, dass das Material, das unter der Escrow Vereinbarung hinterlegt wird, korrekt und vollständig ist und in der Entwicklungsumgebung des Softwareherstellers, entweder vor Ort oder remote, erstellt werden kann.
Für zusätzliche Sicherheit sorgt eine SAST Prüfung, welche auf die Hinterlegung angewandt wird, um die Codebasis auf das Vorhandensein von Sicherheitslücken zu prüfen.

Unabhängige Secure Hinterlegungsvollverifikation

Die Unabhängige Secure Hinterlegungsvollverifikation bietet alle Vorteile einer Unabhängigen Hinterlegungsvollverifikation, in dem geprüft wird ob die Quellcode-Wartung von einem Dritten im Namen des Lizenznehmers durchgeführt werden kann.

Es wird sichergestellt, dass der Build an einem unabhängigen, sicheren Ort von einem Dritten abgeschlossen werden kann, dass dieser vollständig vom Lizenznehmer in seiner IT Umgebung getestet werden kann und dass eine SAST Prüfung auf den Quellcode angewandt wurde, um Sicherheitslücken zu identifizieren.

Secure Nutzbarkeitsvollverifikation

Die Secure Nutzbarkeitsvollverifikation bietet alle Vorteile einer Nutzbarkeitsvollverifikation, im Falle dass die Quellcode-Wartung vom Lizenznehmer bei Eintreten der Herausgabe durchgeführt werden soll.
Sie bietet die Gewissheit, dass die Anwendung in der Umgebung des Lizenznehmers, ebenso wie in der des Softwareentwicklers wiederhergestellt werden kann und dass eine SAST Prüfung auf den Quellcode angewandt wurde, um Sicherheitslücken zu identifizieren.

Zum Zwecke dieser Übung fungiert die NCC Group als unabhängige Partei in deren sicherer Testumgebung aus dem Quellcode die lauffähige Anwendung erstellt wird.

Nutzbarkeitsvollverifikation

Die Nutzbarkeitsvollverifikation beginnt mit einer Basis Vollverifikation. Diese wird typischerweise in der Entwicklungsumgebung des Softwareentwicklers durchgeführt. Danach werden die Hinterlegung und die Prozesse, die während der anfänglichen Basis Vollverifikation erstellt wurden herangezogen, um sicherzustellen, dass der Lizenznehmer die Mittel und das Wissen hat, um das System von Grund auf neu zu erstellen, sollte eine Herausgabe eintreten.

 

Eine Anfrage stellen