Rendersi conto che anche tu hai una domanda del genere ti mette già in vantaggio.
Aggiungerei anche:
(C) Non è molto bravo a rivedere il codice, quindi tu otterrà solo "frutti bassi"
(D) È davvero un pentester, che pensa che sia " oh così facile " espandersi in codice, quindi otterrai risultati simili come pentest, tracciato solo nel codice effettivo.
(E) È uno sviluppatore, senza molta conoscenza della sicurezza, ma conosce un codice errato.
ecc ...
Punto della questione è che sembra che non sia molto trasparente con te, quindi non importa quale sia l'opzione. Anche (A) Il mio codice non ha problemi
non vale molto, a meno che non possa eseguirne il backup con la prova di quali problemi il tuo codice non ha (sic).
E no, in esecuzione uno strumento automatico non conta come revisione del codice di sicurezza, come apparentemente hai sentito, correttamente.
Quindi, alle tue domande:
1. Cosa dovresti chiedergli di fare
"Revisione del codice di sicurezza". Lui dovrebbe dirti te cosa farà e / o consigliarti cos'altro hai bisogno (questo potrebbe / dovrebbe essere un elenco piuttosto lungo). Ovviamente puoi / dovresti dargli più input, come cosa fa la tua applicazione, chi ha accesso, quanto sono sensibili i dati, ecc. Ecc. Ma anche se non lo fai, dovrebbe chiedere queste informazioni. Senza di esso, semplicemente non è una revisione del codice a livello professionale.
2. Come faccio a controllare il suo lavoro
? Direi che in generale ci sono 3 possibilità:
- Impara abbastanza sull'argomento per capire cosa afferma di fare, e per porre le domande difficili - o chiamare qualcuno che lo fa (sempre vero quando si tratta di un fornitore di un servizio che non capisci bene ...)
- Chiedi a un altro consulente di fare una revisione concorrente, anche se solo su un sottoinsieme dell'applicazione.
- (E questo è quello buono) Esegui un test di penetrazione della scatola nera esterna. Questo è il modo migliore per convalidare la revisione del codice. Ovviamente, chiedi a qualcun altro di eseguire il pentest e confrontare i risultati. Nota che non tutte le vulnerabilità trovate in pentest sono rilevanti per essere trovate in una revisione del codice e viceversa, ma dovrebbe darti qualche indicazione.