Ontwikkelen veilige software is zaak van management
Als er security lekken in een software programma misbruikt worden kan dit de ontwikkelaar en gebruikers op flinke kosten jagen. Kwetsbare software is slecht voor het imago van een bedrijf met klanten, partners en investeerders. Het brengt extra kosten met zich mee omdat het bedrijf onbetrouwbare applicaties moet repareren, en het vertraagt de ontwikkeling van andere projecten, omdat de huidige problemen eerst opgelost moeten worden. Door het toegenomen toezicht op interne processen door wetgeving zoals Sarbanes-Oxley, eisen bestuurders dat het ontwikkelproces verbeterd wordt, zodat ontwikkelaars veiligere en betrouwbare sofware ontwikkelen en opleveren.
Het is onontkoombaar dat software lekken bevat. Lekken die vaak gevolgen voor de security van het systeem hebben. Het gaat dan niet alleen om slecht geschreven code. Software gedrag en de manier waarop men programmeert die ten tijde van de ontwikkeling als veilig beschouwd werden, kunnen nu rijp voor de aanval zijn. Het complete ontwikkelproces moet dan ook onder de loep genomen worden, zo laat dit artikel weten.
Verken de situatie, zorg ervoor dat informatie gedeeld wordt, ken je doelen en bepaal strategieen voor bestaande en nieuwe code, zijn een paar van de aanbevelingen die er gedaan worden. Alleen door het verhelpen van de security problemen waar software nu mee te maken heeft, kunnen ontwikkelaars een aanpak ontwikkelen om hoogwaardige en veilige code te ontwikkelen. (CW)
Dat is net zo kort door de bocht als stellen dat ontwikkelen
van veilige software een zaak is van programmeurs met goede
kennis van hun talen.
Veilige software is een zaak van meerdere factoren waarbij
management niet onbelangrijk is maar net als de andere
factoren ook niet overschat moet worden als de oplossing.
management programmeurs aan dat net de taak aan kon.
SQL-injecties waren daardoor goed mogelijk, maar door
'security by obscurity' niet duidelijk.
Als van een programmeur zijn stijl bekend was, bijv. de
parameters in de URL string kwamen overeen met database
kolom namen, kon je makkelijk voorspellen hoe het een en
ander in elkaar stak.
Indien je commentaar gaf dat er gaten in de software waren,
werd dit zelden tot nooit opgelost. Meestal hooguit een
filter dat SQL-achtige tekens verwijderde uit form-inputs.
Dit soort praktijken komen in veel IT bedrijven in Nederland
voor.
Jammer, want de klant van de website heeft echt totaal geen
inzicht hoe software te waarderen.
vertaald (misschien een vertaalprogrammaatje gebruikt redactie)? Dit gaat
helemaal niet over "het management" ofwel leidinggevende personen.
Het was beter geweest als er iets had gestaan als : "ontwikkeling veilige
software is een kwestie van goed proces".
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.