Ontwikkelen veilige software is zaak van management
Als er security lekken in een software programma misbruikt worden kan dit de ontwikkelaar en gebruikers op flinke kosten jagen. Kwetsbare software is slecht voor het imago van een bedrijf met klanten, partners en investeerders. Het brengt extra kosten met zich mee omdat het bedrijf onbetrouwbare applicaties moet repareren, en het vertraagt de ontwikkeling van andere projecten, omdat de huidige problemen eerst opgelost moeten worden. Door het toegenomen toezicht op interne processen door wetgeving zoals Sarbanes-Oxley, eisen bestuurders dat het ontwikkelproces verbeterd wordt, zodat ontwikkelaars veiligere en betrouwbare sofware ontwikkelen en opleveren.
Het is onontkoombaar dat software lekken bevat. Lekken die vaak gevolgen voor de security van het systeem hebben. Het gaat dan niet alleen om slecht geschreven code. Software gedrag en de manier waarop men programmeert die ten tijde van de ontwikkeling als veilig beschouwd werden, kunnen nu rijp voor de aanval zijn. Het complete ontwikkelproces moet dan ook onder de loep genomen worden, zo laat dit artikel weten.
Verken de situatie, zorg ervoor dat informatie gedeeld wordt, ken je doelen en bepaal strategieen voor bestaande en nieuwe code, zijn een paar van de aanbevelingen die er gedaan worden. Alleen door het verhelpen van de security problemen waar software nu mee te maken heeft, kunnen ontwikkelaars een aanpak ontwikkelen om hoogwaardige en veilige code te ontwikkelen. (CW)
Dat is net zo kort door de bocht als stellen dat ontwikkelen
van veilige software een zaak is van programmeurs met goede
kennis van hun talen.
Veilige software is een zaak van meerdere factoren waarbij
management niet onbelangrijk is maar net als de andere
factoren ook niet overschat moet worden als de oplossing.
management programmeurs aan dat net de taak aan kon.
SQL-injecties waren daardoor goed mogelijk, maar door
'security by obscurity' niet duidelijk.
Als van een programmeur zijn stijl bekend was, bijv. de
parameters in de URL string kwamen overeen met database
kolom namen, kon je makkelijk voorspellen hoe het een en
ander in elkaar stak.
Indien je commentaar gaf dat er gaten in de software waren,
werd dit zelden tot nooit opgelost. Meestal hooguit een
filter dat SQL-achtige tekens verwijderde uit form-inputs.
Dit soort praktijken komen in veel IT bedrijven in Nederland
voor.
Jammer, want de klant van de website heeft echt totaal geen
inzicht hoe software te waarderen.
vertaald (misschien een vertaalprogrammaatje gebruikt redactie)? Dit gaat
helemaal niet over "het management" ofwel leidinggevende personen.
Het was beter geweest als er iets had gestaan als : "ontwikkeling veilige
software is een kwestie van goed proces".
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?