Beveiliging is altijd al een sleutelbegrip geweest bij softwaretoepassingen. Maar nu cyberaanvallen steeds gewoner, geavanceerder en kwaadaardiger worden, is de behoefte aan software die echt 'secure by design' is, meer dan ooit cruciaal. Daarom focust Cegeka’s bij softwareontwikkelprojecten steeds meer op het produceren van veilige code: onze software engineers houden in elke fase van de softwareontwikkelcyclus rekening met beveiliging - van het plannen tot het bouwen en implementeren van de software.
Onze software engineers houden in elke fase van de softwareontwikkelcyclus rekening met beveiliging - van de planning tot het bouwen en uitrollen van de software.
Planning: definiëren van relevante beveiligingskenmerken
Veilige applicaties bouwen begint eigenlijk al vóór de eigenlijke softwarebouwfase. Cegeka start elk softwareontwikkelingsproject met een reeks workshops om uw verwachtingen en behoeften te verduidelijken. Tijdens deze voorbereidende fase stelt het projectteam een lijst op van functionele en niet-functionele vereisten, waaronder veiligheidskenmerken zoals autorisatie en authenticatie, definiëren van relevante beveiligingskenmerken.
Hoe definiëren we de benodigde beveiligingsfuncties
Factoren zoals het type applicatie en de gebruiksomgeving hebben een duidelijk effect op de beveiligingseisen. Een app die wordt gebruikt voor een eenmalige marketingcampagne zal bijvoorbeeld minder ingebedde beveiliging nodig hebben dan complexe applicaties die gevoelige gegevens bevatten, zoals de applicatie die we in België voor Kind & Gezin hebben gebouwd om kinderbijslag te berekenen en uit te betalen.
Bouwen en implementeren: zorgen voor veiligheid tijdens softwareontwikkeling
Bij het ontwerpen van uw applicatie, tijdens het schrijven van de code en vlak voor de implementatie van uw software houden wij ons aan een groot aantal best practices om kwetsbaarheden op te sporen en te verhelpen - en zo het risico op potentiële beveiligingsproblemen te verkleinen. Best practices omvatten:
- Threat modeling: we identificeren waarschijnlijke cyberaanvallen en voegen relevante tegenmaatregelen toe aan onze applicaties;
- Code quality reviews: automatische, continue code reviews - vaak aangevuld met handmatige tests - helpen om potentiële zwakke plekken in code te vinden en deze te verhelpen;
- PEN (penetratie) tests: voordat een applicatie wordt ingezet, simuleren beveiligingsprofessionals van ons Security Operations Center (SOC) mogelijke aanvallen om kwetsbaarheden op te sporen die onze software engineers over het hoofd hadden kunnen zien;
- Controle van de beveiliging van open-sourcesoftware: met behulp van de tools van het Open Web Application Security Project (OWASP) worden onze toepassingen voortdurend gescand om kwetsbaarheden in open source op te sporen en te controleren of de open-sourcelicenties worden nageleefd.
Naleving van open source-licenties
De software die wij bouwen, wordt niet helemaal vanaf nul opgebouwd. Elke applicatie bevat een grote hoeveelheid open source software, die, indien niet goed beheerd, een beveiligingsrisico vormt. Om veiligheidsrisico's te minimaliseren en/of te beperken, monitoren wij onze toepassingen voortdurend met het OWASP top 10-rapport als leidraad. OWASP schetst de veiligheidsproblemen voor webtoepassingen en helpt ons kwetsbaarheden te ontdekken in authenticatie, blootstelling van gevoelige gegevens, gebrekkige toegangscontroles, verkeerde configuraties in de beveiliging, enz. terwijl we toepassingen ontwikkelen en testen. Onze best practices op het gebied van open source software zijn vastgelegd in een compliance-beleid dat beschrijft hoe open source software moet worden gebruikt, ontwikkeld, gecontroleerd en gedistribueerd.
De juiste manieren van werken aanleren
Omdat de behoefte aan sterke beveiliging en compliance tijdens de softwareontwikkelcyclus exponentieel groeit, heeft Cegeka fors geïnvesteerd in opleidingen voor het softwareteam. Bovendien delen we voortdurend best practices, policies en checklists om ervoor te zorgen dat security stevig verankerd zit in het DNA van onze digitale fabriek.
Ook onze verkoopteams belichten steeds vaker 'security'- en privacyaspecten in hun aanbod. Dankzij onze 'security-first'-benadering kunt u er zeker van zijn dat uw software voldoet aan de hoogst mogelijke beveiligingseisen en aan alle wet- en regelgeving op het gebied van beveiliging.
Het is belangrijk dat iedereen die bij het project betrokken is een veiligheidsgerichte mentaliteit omarmt, van softwareontwikkelaars tot verkopers.
Het is belangrijk dat iedereen die bij het project betrokken is een veiligheidsgerichte mentaliteit omarmt van softwareontwikkelaars tot verkopers.
Deze blog (4) maakt onderdeel uit van een reeks van 4 blogs over 'Het geheim van succesvolle software'. In blog 1 gaan we in op 'begin met het begrijpen van business drijvers'. In blog 2 gaan we in op 'hoe wij software van hoge kwaliteit leveren om de TCO te verlagen' en blog 3 gaat over 'toekomstbestendige toepassingen voor een lagere TCO'.