Leverancier moet softwareveiligheid garanderen
Een internationale groep beveiligingsorganisaties en -bedrijven heeft een lijst opgesteld met de vijfentwintig gevaarlijkste programmeerfouten. De groep hoopt dat softwareklanten de lijst gebruiken om van softwareleveranciers te eisen dat door hen geleverde code veilig is.
In de hoop de cybercriminaliteit terug te dringen, heeft een internationale groep beveiligingsorganisaties en -bedrijven een lijst opgesteld van de vijfentwintig programmeerfouten die het grootste online beveiligingsrisico's met zich meebrengen. Het gaat volgens de groep om fouten die programmeurs vaak niet begrijpen, waarover opleidingen meestal niet onderwijzen en die softwareontwikkelaars over het algemeen niet meenemen in hun testcyclus.
De groep beveiligingsorganisaties hoopt dat softwareklanten de lijst gebruiken om van softwareleveranciers te eisen dat door hen geleverde code deze fouten niet bevat. Daarnaast kan de lijst gebruikt worden door ontwikkelaars van testomgevingen, onderwijsinstellingen en bedrijven die software ontwikkelen. De lijst zal regelmatig worden geüpdate.
Gevaarlijke foutboodschappen
De vijfentwintig fouten zijn onderverdeeld in drie aandachtsgebieden: onveilige interactie tussen componenten, riskant beheer van databronnen en poreuse verdedigingslinies. Er vallen voor de hand liggende fouten onder zoals gebruik van ondeugdelijke cryptografische algoritmes, maar ook minder voor de hand liggende zoals foutboodschappen die per ongeluk programmeergeheimen in de openbaarheid brengen.
Onder de opstellers van de lijst bevinden zich beveiligingsexperts van onder andere beveiligingscoördinatiecentrum CERT, het SANS Institute (System, Audit, Network, Security) en van bedrijven als Microsoft, Oracle, Red Hat en Symantec.
Paul, 26-01-2009 13:56
Het gaat hier vooral om bewustmaken van managers, niet het effectief laten testen door de managers. Veel managers weten niet wat ze aan hun leverancier moeten vragen en dat is makkelijker met deze lijst.
Al enige tijd voorzien wij in een presentatie bij multinationals (waaronder financiele instellingen) met als titel '13 critical questions to ask your vendor about security'. Ook deze presentatie heeft als doel de mindset ten opzichte van security van aanwezigen te veranderen en ze bewust te maken van risico's.
Het testen kan je dan weer aan experts over laten, binnen of buiten de organisatie. Wij leveren sinds jaren diensten als code reviews en pentesting, gericht op het vinden van security zwakheden en het dichten van lekken.
zorrotester, 30-01-2009 14:43
13-02 KPN maakt balans op na hack
13-02 KPN garandeert anonimiteit internetgebruiker
13-02 Ordina rondt integratie Oracle EBS bij EL&I af
13-02 Perfectview levert CRM-systeem aan Gelderland
10-02 Infor helpt Ferrari met bouwen F1-auto's
10-02 Tester Four Oaks in Israëlische handen
10-02 IS Online en Tres zijn klaar voor Elfstedentocht
10-02 SecureLink migreert Microsoft-diensten Atradius
10-02 Nieuwe software brengt Vitens in problemen
10-02 Ex-Misys-topman moet CSC uit penarie helpen
10-02 Tester Four Oaks in Israëlische handen
10-02 Nieuwe software brengt Vitens in problemen
08-02 Nokia verplaatst smartphoneproductie naar India
08-02 'ICT-afdeling is te traag voor ontwikkeling apps'
06-02 Banometer: Topstart vacaturemarkt krijgt vervolg
06-02 Duitse PMCS.helpLine neemt Leidse MCH+ over
03-02 Siemens PLM Software introduceert Jack 7.1
03-02 Itemis betreedt Nederlandse markt via Warmer IT
01-02 Microsoft-partner Asapnet zet IT-University op
01-02 Kwaliteitscontroleur is nog geen testprofessional
|
|
20-01-09 Beveiligingswereld loopt achter de feiten aan
06-10-08 Betere beveiliging begint bij ontwikkeling
30-07-08 Beveiligingsgat: roepen of zwijgen?
22-05-08 Veel aandacht voor softwarekwaliteit tijdens DevDays
04-10-07 Beveiligingsrisico's komen vaker van binnenuit
28-09-07 Beveiliging is meer dan indekken tegen risico’s
10-09-04 Zorg voor softwarekwaliteit ondermaats
Gemeenten en ICT besparingen
Sommige gemeenten wijzigen hun autonome ICT omgeving in een samenwerkingsverband met als doel het verlagen van ICT......
| Aantal reacties met 3+ sterren | Gemiddelde waardering | |||
 | 1 | 155 | 6.4 | |
 | 2 | 121 | 6.7 | |
 | 3 | 109 | 6.4 | |
 | 4 | 79 | 6.6 | |
| 5 | 53 | 6.1 | |
| 6 | 49 | 6.3 | |
 | 7 | 48 | 6.5 | |
| 8 | 44 | 6.1 | |
| 9 | 43 | 6.0 | |
| 10 | 40 | 6.3 | |
Computable.nl is onderdeel van VNU Media, uitgever van o.a.: NationaleVacaturebank.nl | Intermediair | IntermediairPW | Carrièregids.nl | CompanyRating | NationaleStagebank.nl | Banen.nl | HRbase.nl | HRdirectory.nl | Financebase.nl | InIct.nl | InInterim.nl | InOverheid.nl | Overheidscircuit.nl | Computable | CRN | IT Knowledge Base | Tweakers.net | Recruitmentbloggers
Sitemap | Abonneren | Adverteren | Algemene voorwaarden | Disclaimer | Privacy | Alle rechten voorbehouden © 1995-2012 VNU Media
Ook al zouden ze deze lijst gebruiken, hoe kunnen ze het effectief testen?
Ik ga die lijst gebruiken voor intern gebruik voor de software, maar ik betwijfel of managers het gaan gebruiken...
Frederik Van Lierde
http://www.SilverSandsAssociates.com