Toon posts:

Software security aantonen

Pagina: 1
Acties:

dinsdag 17 maart 2009 14:28

Acties:
  • 0 Henk 'm!
  • BikkelZ
  • Registratie: Januari 2000
  • Laatst online: 21-02 08:50

BikkelZ

CMD+Z

Topicstarter
Er zijn een heleboel goede regels en tips te vinden op het internet en in de vakliteratuur om software veiliger te maken die als je ze allemaal in de praktijk toepast leiden tot een zo veilig mogelijk softwareproduct. Maar het komt vaak ten opzichte van de klant er op neer of ze je wel of niet op je blauwe ogen vertrouwen. Is er een mogelijkheid waarmee je zonder direct de source code te overhandigen toch aan de klant kunt aantonen dat jouw software zo secure mogelijk is.

Certificering, geautomatiseerde testen, externe auditing, wat voor mogelijkheden zijn er?

iOS developer

dinsdag 17 maart 2009 14:42

Acties:
  • 0 Henk 'm!
  • Janoz
  • Registratie: Oktober 2000
  • Laatst online: 21-09 02:21

Janoz

Moderator Devschuur®

!litemod

Persoonlijk lijkt mij een externe audit de sterkste. Ook bij geautomatiseert testen en andere tooling zullen ze nog steeds op je blauwe ogen moeten geloven dat de coverage relevant is en de instellingen realistisch.

Een externe instelling die een audit uitvoert zal waarschijnlijk vergelijkbare tooling gebruiken, of de door jullie gebruikte tooling met bijbehorende instellingen. De geloofwaardigheid zal echter een stuk hoger liggen.

Certificering zal zich waarschijnlijk meer op het ontwikkel- en onderhoudsproces zelf richten.

Ken Thompson's famous line from V6 UNIX is equaly applicable to this post:
'You are not expected to understand this'

dinsdag 17 maart 2009 15:05

Acties:
  • 0 Henk 'm!
  • GrooV
  • Registratie: September 2004
  • Laatst online: 08:58

GrooV

Ligt ook een beetje aan je budget natuurlijk, certificering zoals bij banken vereist is kost nogal wat geld, een audit daarentegen kan stukken goedkoper.

dinsdag 17 maart 2009 21:14

Acties:
  • 0 Henk 'm!
  • BikkelZ
  • Registratie: Januari 2000
  • Laatst online: 21-02 08:50

BikkelZ

CMD+Z

Topicstarter
Ik moet heel eerlijk zeggen dat ik ook geen bedrijven zo vlug zoekend via Google kan vinden die dit soort dingen kunnen doen voor een Microsoft .Net softwareproduct, althans niet die zich nadrukkelijke zo afficheren. Maar volgens mij is een ontwikkelstraat geheel volgens Microsoft standaard ook wel iets waar sowieso al naar gekeken wordt, en volgens mij ligt dan eventuele certificering indien gewenst dan ook binnen handbereik.

En qua budget....tja misschien is de mogelijkheid dat we het zouden kunnen leveren uiteindelijk wel genoeg.

[ Voor 11% gewijzigd door BikkelZ op 17-03-2009 21:14 ]

iOS developer

dinsdag 17 maart 2009 22:56

Acties:
  • 0 Henk 'm!
  • Swinnio
  • Registratie: Maart 2001
  • Laatst online: 16-09 07:50

Swinnio

Lijkt me dat de klant moet bepalen of ze genoegen nemen met je blauwe ogen of dat ze tastbaarder bewijs zoeken. Security audits worden in Nederland door meerdere partijen aangeboden, waaronder PriceWaterhouseCoopers.

If the world wouldn't suck, we'd all fall off

dinsdag 17 maart 2009 23:42

Acties:
  • 0 Henk 'm!
  • AaroN
  • Registratie: Februari 2001
  • Laatst online: 16-08-2023

AaroN

JayGTeam (213177)

Swinnio schreef op dinsdag 17 maart 2009 @ 22:56:
Lijkt me dat de klant moet bepalen of ze genoegen nemen met je blauwe ogen of dat ze tastbaarder bewijs zoeken. Security audits worden in Nederland door meerdere partijen aangeboden, waaronder PriceWaterhouseCoopers.
Security audits worden gedaan door tal van bedrijven waaronder de grote accountantskantoren: EY, PWC, KPMG en Deloitte. Tevens heb je Foxit en Madison Gurkha. Waarvan de eerste veelal met register edp auditors werken en de laatste meer met de Amerikaanse variant daarop CISA en CISSP. Zo´n rapport zal zeker bijdragen aan de geloofwaardigheid, maar vaak is het sowieso nodig om een IT audit uit te laten voeren wanneer een stuk software een belangrijk deel uitmaakt van de bedrijfsvoering. De directe toegevoegde waarde kan ik je niet direct vertellen, zij het dat je een onafhankelijk rapport krijgt over je product waaruit uiteraard belangrijke risico´s voort kunnen komen.

JayGTeam (213177)

dinsdag 17 maart 2009 23:46

Acties:
  • 0 Henk 'm!
  • Motrax
  • Registratie: Februari 2004
  • Niet online

Motrax

Profileert

Gaat het om beveiliging of gaat het om dat het product levert wat er verwacht wordt zonder onverwachte resultaten? Bijvoorbeeld in de medische industrie is het laatste erg belangrijk (GAMP etc).

☻/
/▌
/ \ Analyseert | Modelleert | Valideert | Solliciteert | Generaliseert | Procrastineert | Epibreert |

dinsdag 17 maart 2009 23:46

Acties:
  • 0 Henk 'm!
  • bobsquad
  • Registratie: Maart 2008
  • Niet online

bobsquad

Zelf denk ik ook dat het ook ligt aan het stuk software wat je als veilig moet worden bestempeld. Bij ons op het bedrijf krijgen ze op aanvraag een report aangeleverd en mochten ze het door een extern bedrijf willen laten controleren is het ook geen probleem. Ze kunnen ook bijvoorbeeld bij ons kijken naar de status van bijvoorbeeld een beveiligde verbinding van software en dergelijke logs direct opvragen.

woensdag 18 maart 2009 09:07

Acties:
  • 0 Henk 'm!
  • BikkelZ
  • Registratie: Januari 2000
  • Laatst online: 21-02 08:50

BikkelZ

CMD+Z

Topicstarter
Bedankt voor jullie input tot dusver. Heel bruikbaar! :)

Motrax -> Het gaat om een online systeem waarmee eventueel privacygevoelige financiele producten beheerd kunnen worden.

bobsquad -> Zo'n intern auditing rapport, hoe voorkom je dat je het WC-Eend effect krijgt? Gebruik je dan een bepaalde standaardprocedure en auditing tools? Het zou interessant zijn om te zeggen "wij werken volgens standaard x en zo nodig willen we dat ook door een extern bedrijf laten verifieren".

iOS developer

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq