Minder datalekken? Begin bij het begin!
Om tot de situatie te komen waarin software minder lekken vertoont, is het niet meer voldoende om te vertrouwen op een pentest aan het einde van een ontwikkelcyclus. Maar hoe komen we er dan wel?..
Neem direct contact op: +31(0)20 364 2909
Om tot de situatie te komen waarin software minder lekken vertoont, is het niet meer voldoende om te vertrouwen op een pentest aan het einde van een ontwikkelcyclus. Maar hoe komen we er dan wel?..
Vorig jaar schreef ik voor het Cqure Kennisplatform een artikel over: "Zinvol gebruik van security metrics" (zie artikel op kennisplatform Cqure).
Ik heb gemerkt dat er behoefte blijkt te zijn aan een praktijkvoorbeeld. Daarom besteed ik dit artikel aan een rekenvoorbeeld om de security metrics van een webserver te bepalen. Daarna gebruik ik de metrics om te bepalen wat voor impact verwacht mag worden van verschillende aanvullende maatregelen, zodat het beschikbare budget optimaal ingezet kan worden. Voor een beknopte uitleg over de achterliggende theorie verwijs ik u naar het eerdere artikel.
Een van de grote voordelen van open source software is dat iedereen, zelfs u, de broncode kan controleren en dus zal, via statistische logica, de kans dat een bugje snel wordt gevonden, naar één stijgen – als genoeg mensen daadwerkelijk naar de code kijken nu ze dat kunnen. En dan worden we toch verrast door juist zo’n programmeerfoutje à la Heartbleed
Is het niet een bekend feit dat ontwikkelaars niks geven om applicatie beveiliging, laat staan dat het schrijven van veilige applicatie code aandacht heeft bij de ontwikkelaars. Is het dan niet fantastisch dat er tooling is die applicatie code op bekende kwetsbaarheden scant! Maar hoe werkt het dan en hoe werkt het nou goed?