Kaynak kodu analizi, bir programın kaynak kodunun uygulama satılmadan veya dağıtılmadan önce hataları bulma ve düzeltilmesi amacıyla otomatik olarak test edilmesidir.
Kaynak kod analizi, programın çalışmadığı kaynak kodun basit olarak kod olarak analiz edildiği sadece statik kod analizidir.
Kaynak kod analizi temelde kod içerisinde programcı tarafından görülmeyen, görülemeyen hataların otomatik olarak ayıklamasıdır.
Bu çalışmalar için test senaryoları oluşturmaya veya uygulamanın kullanım özelliklerini bilmeye gerek duyulmaz. Bu testler, uygulamanın fonksiyonlarının işlevselliği, ekranların rengi, uygulamanın kullanıcı dostu olup olmadığına değil kod içerisinde saldırganlar tarafından sömürülebilecek SQL injection, Buffer Overflow, XSS vb. açıklıklara neden olan, uygun işleyişe zarar verebilecek hataları bulmaya odaklanır.
Yaygın kanı olan Sızma testi yaptırıyoruz kaynak kod analizine gerek yok düşüncesi, bu konudaki farkındalığın artması, statik kod tarama araçlarının gelişmesi ve raporlardaki sonuçların ortaya koyduğu somut sonuçlar sonrasında zamanla azalmaktadır.
Sızma testleri, genellikle yılda 1 kere yapılan tüm bir bilgi sistemi altyapısını kapsayan herhangi bir yöntemle kurum ağına sızmayı ve yetki ele geçirmeyi amaçlar.
Kaynak kod analizleri kod güvenliğine odaklanmış çalışmalardır, bu çalışmalarda amaç ürünleri canlıya almadan kod içerisinde güvenlik açığına neden olan bir hata varsa bir an önce tespit etmek ve kapatmaktır.
Kod içerisindeki bu hatalı satırların, yılda 1 kere yapılan Sızma testleri esnasında tespit edilmesini beklemek hem gerçekçi değil hem de bu süre zarfında uygulamanızın olası açıklıkları ile saldırılara açık bırakmanıza sebep olur.
Digisecure olarak, yazılım geliştirme ve kaynak kod analizi konusunda uzman ekibimizle yeni geliştirdiğiniz uygulamalarınızı ya da mevcut uygulamalarınızı Statik Kod Analizi hizmetimiz kapsamında test ederek kodlarını güvenle canlı ortama geçirmeniz konusunda destek veriyoruz.