Ontwikkelen veilige software is complex

14-01-2013 16:04 | Door Wilbert van den Bliek | Lees meer artikelen over: SQL, DigiD, Ruby (on Rails) | Er zijn nog geen reacties op dit artikel | Dit artikel heeft nog geen cijfer (te weinig beoordelingen) | Permalink
Computable Expert
Wilbert van den Bliek
Wilbert van den Bliek

Algemeen Directeur SQS BeNeLux

Expert van Computable voor het topic Development

Meer

Het ontwikkelen van veilige software is een complexe aangelegenheid. Dit geldt voor applicaties zoals DigiD, maar ook voor frameworks waar deze op gebaseerd zijn. In dit geval Ruby on Rails. Dit lek treft iedereen die de specifieke Ruby on Rails componenten gebruikt waar het lek in gevonden is.

In de afgelopen jaren zijn verschillende security holes gevonden in Ruby on Rails. Het huidige lek is de volgende in deze reeks. Het betreft hier het kunnen gebruiken van dynamische functies om de database te bevragen waarbij ook sql-commando’s kunnen worden meegegeven. Hiermee kunnen ongeautoriseerde gebruikers willekeurige gegevens uit de database opvragen. Het betreft een traditioneel geval van sql-injectie, iets wat geregeld voorkomt.

Vanuit het toenemende gebruik en de volwassenheid van de software mag enerzijds verwacht worden dat er steeds minder security holes gevonden worden in Ruby on Rails. Anderzijds leidt toegenomen gebruik ook tot een groter aantal functionele uitbreidingen en wijzigingsverzoeken. Het beheersen van alle (security) issues wordt daardoor verder bemoeilijkt. Je kan er als ontwikkelaar dus niet vanuit gaan dat frameworks foutenvrij zijn. Informatie over het ‘verwachte gebruik’ van frameworkfunctionaliteit moeten zeker argwaan wekken. Je moet je afvragen wat dan ‘onverwacht gebruik’ betekent. Ontwikkelaars en architecten die dergelijk frameworks gebruiken, dienen zorg te dragen voor het gedegen ontwerpen, coderen en reviewen van welke features in welk framework dan ook. Dit is een van de belangrijkste pijlers voor veilige software.

Wilbert van den Bliek
Managing director
SQS Nederland

Deel dit artikel via LinkedIn
Deel dit artikel via Facebook
Deel dit artikel via Twitter

47 vacatures
Software Engineer

MessageBird BV , Amsterdam

Systemengineer security

Belastingdienst (via Belastingdienst) , Apeldoorn

UX Developer

Uniface , Amsterdam Zuidoost

B.A.M. Vermeer is op zoek naar een systeemontwikkelaar!

B.A.M. Vermeer Holding B.V. , Biezenmortel

Software Developer (40 uur)

Giscare Software Solutions , Harderwijk

Top 10 reagerende bezoekers
   Aantal
reacties
Gemiddelde
waardering
Klik voor meer info1 1888 6,9
Klik voor meer info2 1426 6,6
Klik voor meer info3 1358 6,4
Klik voor meer info4 1165 6,5
Klik voor meer info5 1105 6,5
Klik voor meer info6 1044 5,9
Klik voor meer info7 847 6,7
Klik voor meer info8 639 5,9
Klik voor meer info9 513 6,3
Klik voor meer info10 437 5,9