Het uitleggen van een hack vanuit de codebase leidt volgens Cybersecurity startup Codean tot een diep en holistisch begrip van de kwetsbaarheid.
Codean gebruikt voor het nieuwe format de gratis community versie van hun ‘review environment’. Het is volgens Tolsma een IDE, maar dan speciaal ontworpen voor security review. Hij legt uit: “Je hebt de hele codebase voor je, en je klikt stap voor stap het kwetsbare pad door. Zo kan je zien hoe de kwetsbaarheid echt werkt: van ingang in de applicatie tot misbruik. Of zoals experts het zeggen: van ‘source to sink’.”
Ethische hackers willen en moeten blijven leren, dus security write-ups zijn populair. Codean zag ruimte voor verbetering, zo zegt Arthur Tolsma, co-founder van Codean: “Write-ups zijn leerzaam. Mooi dat ze geschreven worden, maar de huidige write-ups bestaan vooral uit tekst met een paar code snippets. Terwijl het om het kwetsbare pad door die code gaat. Vandaar is ons nieuwe format gebaseerd op de codebase, met begeleidende tekst.”
Eerste write-up
Codean deelt dit format gratis aan iedereen, inclusief eerste write-ups. De eerste write-up is nu gepubliceerd, over een Node.js package kwetsbaarheid die Feathers and Sequelize libraries gebruikt. Tolsma: “We hebben hier vorig jaar kwetsbaarheden in gevonden die leiden tot 6 CVE’s, vandaar kenden we de code al goed. We vinden het fantastisch hoe in de security wereld kennis gedeeld wordt, en we dragen graag een steentje bij.”