Is dit een veilig gebouw? Aan de hand van wat ik zie zou ik zeggen van niet. Maar wellicht is het nog onveiliger dan ik al dacht. Dit geldt niet alleen voor gebouwen maar ook voor iets anders waar we elke dag mee te maken hebben: software. Security in software is vandaag de dag een big issue. En terecht. Staat u er wel eens bij stil dat er ook securityrisico’s in de basis van uw software – de broncode – kunnen schuilen? Waar u waarschijnlijk geen zicht op hebt. Vanuit onze ervaring stippen we 6 aandachtspunten aan om u op weg te helpen met het elimineren van risico’s. Veilig richting de toekomst!

 

1. Wees u bewust van de veranderingen die doorgevoerd worden in de software:

Onze ervaring leert ons dat verandering risico’s introduceert. We leven in een wereld waarin verandering gemetseld staat in de basis van elk bedrijf. We willen allemaal innoveren, vernieuwen en vooral ook in kunnen spelen op de vragen van onze (potentiële) klanten. Om deze mate van flexibiliteit te bewerkstelligen is het een vereiste dat IT mee kan groeien in de richting van de business. Dit betekent veelvuldig programmeren in uw software: in veel gevallen de motor van uw bedrijf. Besef u dat bij elk van deze veranderingen de kans op een securityrisico groter wordt. Op zich logisch, en gelukkig is er ook genoeg aan te doen om ervoor te zorgen dat u in controle blijft.

 

2. Verouderde software:

Wist u dat verouderde software niet alleen een business-obstakel is maar ook een risico vormt op het gebied van security? Verouderde programmatuur is vaak niet ontwikkeld in de geest van “security by design”, en kan ervoor zorgen dat systemen minder stabiel en betrouwbaar worden gedurende de tijd. U wilt natuurlijk wel altijd kunnen bouwen op uw software, juist in tijden waarop er veel aan de software veranderd moet worden.

 

3. Open source:

Het gebruik van open source componenten is steeds normaler. Wij, net als (in onze ogen) elk IT-bedrijf, juichen dit ook toe. Toch zitten er wel wat haken en ogen aan het gebruik van open source. Weet u of uw open source componenten allemaal up-to-date zijn? Wellicht zijn er in voorgaande versies veiligheidsissues gevonden en loopt u nu meer risico dan u wellicht denkt. Het begint allemaal bij de vraag: welke open source componenten gebruik ik, en welke open source componenten gebruiken deze componenten? Weet u dit?

 

4. Concreet broncode beveiligingsrisico: SQL-injection:

Allemaal leuk deze aandachtspunten, maar wat kan er dan precies in de broncode fout gaan? Nou, neem een zogenaamde SQL-injection: een hack techniek die vaak wordt toegepast op applicaties en websites. Gegevens kunnen door een dergelijke injectie uit een database worden gehaald, veranderd worden en in sommige gevallen kunt u de controle over uw server kwijtraken. Zo zijn er legio zaken die kopzorgen kunnen veroorzaken. Wat u hieraan kunt doen? Door uw broncode in de basis te beveiligen kan het voor buitenstaanders onmogelijk worden om uw broncode binnen te dringen. Hiervoor moet u allereerst een volledig inzicht in uw broncode hebben, een review van broncode kan u dit geven.

 

5. Secure programmeren: alles moet consequent zijn:

Bij een overschrijving van geld moet het afgeschreven bedrag gelijk zijn aan het bedrag dat moet worden bijgeschreven. Zo niet, dan is er geld verdwenen. Deze vergelijking gaat ook op voor de gegevens waarmee veel applicaties omgaan en dit geldt voor iedere applicatie op zijn eigen manier. Natuurlijk wéét je dit als ontwikkelaar, maar onder de over het algemeen hoge tijdsdruk komt dit vaker voor dan ons lief is. Consequentie in programmeren is een factor die bijdraagt aan betrouwbaarheid en veiligheid van applicaties. Bent u ervan op de hoogte hoe consequent uw programmeurs te werk gaan?

 

6. Controle en inzicht. Alleen met een full scope kunt u risico’s elimineren:

Een review van broncode geeft een beeld van risico’s en andere onvolkomenheden in de broncode. Zo’n review kan manueel en geautomatiseerd worden uitgevoerd. Veelal wordt aangeraden om een combinatie van beide uit te voeren. Waarom? Volgens experts is een geautomatiseerde review wel snel, maar levert het vaak false-positives op en zal het niet alle zwakheden herkennen. Wel, wij willen u er graag van overtuigen dat Omnext hierin een complete dienstverlening biedt: een snelle, objectieve en geautomatiseerde review onder toeziend oog van in-house experts die false-positives kunnen verwijderen, patronen kunnen ontdekken en zich gelijk kunnen richten op uw situatie en welke resultaten voor uw organisatie belangrijk zijn. Advies op maat dus, gebaseerd op objectieve waarnemingen van de gehele broncode. Weet waar u moet beginnen!

 

Welke van deze aandachtspunten zou u als eerste aanpakken?

Anna Willems

Anna Willems

Brand Manager

Anna Willems is Brand Manager bij Omnext, expert in het meten en analyseren van broncode van softwareapplicaties m.b.v. Fit Testen en Stay Fit programma’s. Anna heeft vanuit marketingperspectief een duidelijke visie op het combineren van IT en business en hoe broncode als ‘basis’ de beste businessmotieven naar voren kan halen.

 

Vragen? Neem contact op met Anna

Share This