Kwetsbaarheden voorkomen is goedkoper dan ze tijdens het gebruik van software verhelpen. Dat is in onderzoek al diverse keren aangetoond.
Eerder gaf ik al aan dat softwarebedrijven de plicht hebben om veilige software af te leveren. Daarvoor kunnen ze dan gebruik maken van een methode als OpenSAMM.
Door mijn allergie tegen onveilige software vallen berichten hierover me steeds vaker op. Zo ook het bericht dat Google het testen van Chrome geautomatiseerd heeft. Google heeft een 'virtuele' martelkamer ingericht waar 6000 instances van de Chrome-browser worden bestookt met 50 miljoen flodders code per dag.
Het heeft ook al diverse kwetsbaarheden aan het licht gebracht waarvan een substantieel deel al voor release zijn ontdekt en verholpen.
Nu heeft Google het proces van Fuzzing geoptimaliseerd, want het schieten met hagel heeft zelden voldoende resultaat. Het hoge aantal parallelle tests, waaraan Chrome wordt blootgesteld, levert genoeg informatie op om voortijdig de kwetsbaarheden te ontdekken.
Deze manier van werken is natuurlijk niet voor iedere organisatie weggelegd (kosten, complexiteit, ...). Maar dat neemt niet weg dat iedere organisatie die applicaties bouwt de ambitie moet hebben om veilige software af te leveren.
Ik denk zelfs dat iedere organisatie die nieuwe software aanschaft ook de plicht heeft om de leverancier op de pijnbank te leggen om er achter te komen hoe veilig ze de software hebben gebouwd. Software is een duur bedrijfsmiddel en daar mogen we eisen aan stellen als afnemer!
Is de software die jouw organisatie gebruikt veilig? Of is er een laag 'veiligheid' omheen geknutseld?
Ik ben benieuwd.
Blijf alert! Niet alleen de software op je PC moet veilig zijn, maar ook al je apps! Heb je daar controle over? Bekijk het ecosysteem van de app-stores. Daar zijn meer dan 65 risico's in vastgesteld!
Geen opmerkingen:
Een reactie posten