Door Anoniem: Jouw opdrachtgever zal (mits professioneel) jou alleen maar verzoeken om mogelijke issues op te lossen en zal je er niet direct op afrekenen.
Dat zal van de gemaakte afspraken afhangen. Als de leverancier beloofd heeft op de overeengekomen opleverdatum veilige software op te leveren en deze vervolgens zo lek als een mandje blijkt te zijn, en de opdrachtgever rekent de leverancier daar niet op af, dan is die opdrachtgever niet professioneel maar een dief van z'n eigen portemonnee.
En je boft als de door de opdrachtgever ingehuurde pentesters, in hun rapportage, uitlgeggen hoe de leverancier de gevonden problemen kan oplossen, maar daar zou ik maar niet op rekenen; daar worden zij immers niet voor betaald.
Daarnaast biedt een pentest geen garantie dat alle fouten gevonden zullen worden. Sterker, als pentesters snel fouten vinden kun je er donder op zeggen dat er meer security issues zullen bestaan. Pentesters proberen aan te tonen aan dat software niet deugt, meestal in een time-box; het zijn geen probleemoplossers - in elk geval niet voor de leverancier (indien ingehuurd door de opdrachtgever).
Aangezien ik uit de woorden van de TS opmaak dat deze zich zorgen maakt, lijkt me dat geen situatie om achterover te leunen en te wachten of en waar de klant, na oplevering. over gaat klagen. Om te voorkomen dat de pentesters van de klant 1 of meer lekken/kwetsbaarheden kunnen vinden, zul je als leverancier
alle lekken en kwetsbaarheden moeten vinden - en fixen.
Door Anoniem: Conclusie duidelijk. Je bent helemaal geen software aan het bouwen. Want anders had je wel een idee van testen gehad.
Hoewel er vast wel cowboys zijn die amper of niet serieus testen, vermoed ik dat een ruime meerderheid van softwareleverende bedrijven wel gestructureerd
functionele tests uitvoert. Helaas zijn security-tests daarbij meestal een ondergeschoven kindje -
áls er al aandacht aan wordt besteed. Zie ook de tweede helft van mijn bijdrage in
https://security.nl/posting/634762.