Kritieke softwarefouten komen vaak pas vijf voor twaalf aan het licht. Sprout-expert David Vaartjes tipt 3 ingrepen waarmee je dit soort verrassingen voorkomt.

Een kritieke beveiligingsfout in je software is de nachtmerrie van iedere ondernemer of projectmanager. En toch zijn datalekken en compleet platgelegde bedrijfsprocessen aan de orde van de dag.

Veilige software bouwen is niet eenvoudig en ook steeds veeleisender. Het moet mooi en snel zijn, veilig én ook nog op tijd geleverd. Eén subtiele programmeerfout, ook wel bug, kan al een groot beveiligingslek veroorzaken. Een geluk bij een ongeluk is wel dat bugs vaak vrij eenvoudig zijn op te lossen.

Fouten

Dit geld niet voor flaws, een term die we gebruiken voor voor fouten in het ontwerp of de logica. Deze zijn vaak veel lastiger te corrigeren en vragen soms zelfs ingrijpend redesign.

Doodzonde, want flaws zijn vaak al van mijlenver, in een vroeg stadium zichtbaar maar komen vaak pas vijf voor twaalf aan het licht. Vaak komt dit doordat de enige security-test pas in het eind stadium, vlak voor oplevering, wordt uitgevoerd. Veel te laat, met regelmatig onaangename verrassingen en een fikse kans op "show stoppers" tot gevolg.

Wat kun je doen om dit soort verrassingen te voorkomen?

1. Vroege security-brainstorm

Bouw je een nieuwe applicatie dan moet je continue en goed nadenken over security, vooral in het begin. Vandaar deze tip voor teams die op het punt staan een nieuwe applicatie of feature te bouwen: organiseer een security-brainstormsessie zodra je helder hebt wat je wilt gaan bouwen en hoe je het ongeveer wilt gaan bouwen (qua frameworks, talen, etc.). Niet te vroeg, maar ook zeker niet te laat dus.

2. Werp een tussentijdse blik op de code

Ben je inmiddels al lekker op weg met de bouw, voer dan een tussentijdse security code-review uit. Flaws zijn namelijk uitstekend vroegtijdig te identificeren vanuit de code en des te vroeger je ze vangt, des te eenvoudiger er kan worden bijgestuurd.

3. Vertrouw niet alleen op geautomatiseerde scantools

Waar sommige type bugs eventueel gedetecteerd zouden kunnen worden met een (geautomatiseerde) code-scanner, geldt dit absoluut niet voor flaws. Deze zijn compleet onzichtbaar voor deze tools. Net zoals mijn spell-checker bijvoorbeeld nooit zal kunnen vertellen of de zinsvolgorde van dit verhaal wel klopt, het inhoudelijk wel deugd en of er wellicht complete zinnen of onderwerpen ontbreken.