fbpx

A kódelemzés egy olyan szoftverminőség-biztosítási tevékenység, amelynek során szakértők egy programot elsősorban a forráskódjának elemzésével ellenőriznek. Az elemzést végzők közül legalább egy személynek nem szabad a forráskód szerzőjének lennie.

Kívülről áttekinthetetlennek tűnik

A forráskód elemzés egyik legfontosabb területe a biztonsági szempontok szerinti átvilágítás. A kódelemzés célja, hogy fényt derítsen az alkalmazás forráskódja alapján meghatározható – elsősorban biztonságot csökkentő – hibákra. A rendszeres kódelemzés segít a fejlesztőknek egy biztonságosabb alkalmazás előállításában.

A kódelemzést legjobb a fejlesztés mérföldkövei után rendszeresen elvégezni, hogy a fejlesztés végeredménye egy biztonságilag megfelelő alkalmazás legyen. A fejlesztéssel párhozamos kódelemzés biztosíték lehet a fejlesztők számára, hogy alkalmazásuk a biztonsági vizsgálatokon megfelelően teljesít. A megrendelőnek szintén érdeke, hogy a leadási határidőre elkészült szoftver megfeleljen a biztonsági elvárásoknak is.

A gyakorlat azonban azt mutatja, hogy sok projektben csak közvetlenül az átadás előtti időszakban próbálnak kódelemzést végeztetni. Sajnos nagyon sokszor már csak ilyenkor derül ki, hogy a lefejlesztett alkalmazás nem felel meg a biztonsági követelményeknek, és a leadásig hátralévő idő már nem elég a kód javítására vagy újraírására. Az a javaslatunk, hogy a kódelemzés a fejlesztés kezdetétől, azzal párhuzamosan, azt kiegészítve történjen. Ezzel a megoldással lehet a kód biztonságát mind a fejlesztők, mind a megrendelők részéről a leginkább kordában tartani.

Ha nincs lehetőség a projekttel párhuzamosan a kódelemzés kivitelezésére, nem késő a projekt végén is elvégeztetni az analízist. Ilyenkor azonban fel kell készülni arra, hogy a vizsgálat olyan hibákat tár fel, amelyeket záros határidőn belül ki kell javítani. Többször láttuk már, hogy ez a fejlesztő és a megrendelő között jogi útra terelt vitát eredményez. A szerződés megkötésekor gondolni kell erre is!

Cégünk a kódelemzéshez először felméri a forráskódot. A teljesség igénye nélkül ezekre az információkra van szükségünk a kódról: Milyen nyelveket használ, hány sor, milyen külső modulokat használtak a fejlesztők. Többnyire egy gyors interjúra is sor kerül a vezető fejlesztővel. A megállapodás után aztán kézi és automata eszközökkel szakértőink átnézik a forráskódot, és egy részletes jelentést adunk át. Ez a jelentés nem csak a hiányosságokat, hanem az ezek javítására való javaslatokat is tartalmazza.