Drie veelgemaakte securityfouten in softwareprojecten op een rijtje

Software (Bron: FreeImages.com/Flavio Takemoto)

Security is tegenwoordig een onmisbaar onderdeel geworden van software ontwikkeling. Bij het verwerken van beveiliging in hun ontwikkelproces gaan bedrijven echter nog regelmatig de fout in. Senior software engineer en secure software development (SSD) expert Bob Loihl van Tripwire, een leverancier van beveiligings- en compliance-oplossingen, zet drie veelgemaakte fouten op een rijtje.

Security aan het eind van een project toevoegen

Security wordt volgens Loihl vaak in een te laat stadium in software geïmplementeerd. Het is van belang het security plan klaar te hebben voordat het ontwikkelproces begint. Dit stelt ontwikkelaars in staat vanaf het begin van het project bewust voor een veilige ontwikkelaanpak te hanteren en alle aspecten van de code direct bij het schrijven veilig te maken.

Bestaande SSD tools en expertise niet gebruiken

Allerlei ontwikkelaars hebben veilige code en processen ontwikkeld, waarvan de veilig is gevalideerd door externe partijen. Het is dan ook niet nodig het wiel opnieuw uit te vinden. Veel bedrijven laten echter deze bewezen code en processen links liggen en kiezen ervoor zelf ontwikkelde beveiligingsmechanismen in te bouwen in software. Loihl noemt het verstandig de verleiding om eigen beveiliging in software te implementeren te weerstaan, zeker als het gaat om authentificatiemodellen, encryptie en andere complexe beveiligingsfunctionaliteiten.

Fouten van andere ontwikkelaars hergebruiken

In softwareprojecten wordt vaak code hergebruikt die is ontwikkeld door andere ontwikkelaars. Dit kan het ontwikkelproces versnellen, maar levert ook het risico op dat eventuele beveiligingsproblemen in deze code onderdeel worden van het nieuwe softwareproject. Ontwikkelaars besteden volgens Loihl onvoldoende aandacht aan dit risico. De senior software engineer van Tripwire roept ontwikkelaars dan ook op altijd de veiligheid van code die zij hergebruiken in hun projecten te controleren om zeker te stellen dat zij een veilig eindproduct opleveren.
Meer informatie is te vinden in een blogpost van Tripwire.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.