Partnerpagina CIP

- - - - -

Gretig op zoek naar nieuwe SSD-normen

persberichten, 12 april 2017

Verslag van de 9e SSD Practitioners Community bijeenkomst. 15 maart 2017, Amsterdam

Inleiding

In deze bijeenkomst ligt de nadruk op de uitwisseling van eerste ervaringen met het gebruik van SSD in de praktijk en in hoeverre organisaties er mee aan de slag zijn.
Rob van Vliet (Centric) en Erik Poll (Radboud University Nijmegen) hebben voor deze middag ieder een boeiende presentatie in petto.
Ad Kint opent het programma, heet alle aanwezigen welkom, waaronder wederom weer nieuwe leden van de SSD Practitioners Community.
Na enkele korte mededelingen wordt gestart met de presentaties.

Implementatieervaringen SSD binnen een internationaal werkende productsoftware-organisatie

Rob van Vliet ondersteunt met zijn afdeling Technology & Quality Centric-afdelingen bij de ontwikkeling van hun producten en diensten. Hierbij worden verschillende technologieën, tools en standaards gebruikt voor de ontwikkeling van software.
In de presentatie wordt specifiek ingegaan op “Grip op SSD”.
Centric heeft anderhalf jaar geleden het besluit genomen te kiezen voor het frame-work SSD.
Een belangrijke reden hiervoor is dat het frame-work is opgezet vanuit het klantperspectief en centraal wordt onderhouden. Een ander belangrijk punt is dat het framework rekening houdt met de context van de applicatie en zo nodig aanvullende requirements t.o.v. de baseline kan specificeren. Mede om deze redenen past het frame-work SSD goed bij Centric.
Centric houdt workshops met klanten over de inschatting van de risico’s en de mogelijke maatregelen. Centric geeft daarmee aan actief aandacht te hebben voor de verantwoordelijkheid van de klant.
Op een heldere en boeiende wijze neemt Rob het publiek mee in het implementatie proces en legt onder meer Centric’s Product Quality Improvement Model uit. Uit de zaal komen ondertussen vragen die op deskundige wijze met elkaar worden besproken.
Ontwikkelaars krijgen vanuit de opleidingen te weinig basiskennis mee om software veilig te maken. Hiervoor is tijd en ruimte nodig, waarbij de ontwikkelteams aangevuld worden met security specialisten.
Security resulteert in “non-functional requirements” die meer aandacht nodig hebben en vanaf de aanvang in de ontwikkeling meegenomen moeten worden.
In aanvulling op de SSD-normen heeft Centric nog een aantal eigen requirements toegevoegd. Deze additionele requirements worden toegelicht en blijken zeer in de belangstelling te vallen bij de deelnemers in de zaal. In de teamopdracht verderop daarover meer.
Rob vertelt over de campagne “Cybercentricity” binnen Centric, met als doel “Making software secure”, en wijst op bestaande kennisbronnen voor ontwikkelaars, zoals “Hacken kun je leren.nl” (zelfstudie), “The hacker playbook” (boek) en “SHA+2017” (hackersbijeenkomst). Ook zijn goede ervaringen opgedaan met een “Capture-the-flag” wedstrijd, waarbij ontwikkelaars met elkaar op een informatieve en competitieve wijze de strijd aangaan wie de beste hacking-skills heeft. Als je namelijk weet hoe je moet hacken, begrijp je ook beter waarom en hoe je software moet beveiligen.
Tot slot een laatste belangrijke tip: “Think like a hacker”.

(Nog steeds geen) Secure Software Development?

Erik Poll is universitair docent aan de Radboud Universiteit in Nijmegen. Zijn onderzoekinteresse zijn software security, m.n. methodes om security te verbeteren mb.v. statische analyse of betere testen, en de beveiliging van chipkaarten. Alle ideeën achter het verbeteren van security in de software development lifecycle zijn nu al meer dan een decennium oud, maar de waslijst met software zwakheden lijkt niet minder hard te groeien, en de meest recente hitlijsten van bedreigingen zijn vrijwel identiek aan de allereerste uit 2004. Wat is er goed en fout gegaan met Secure Software Development het afgelopen decenium, en hoe zou ’t komende decenium beter kunnen gaan?
In zijn presentatie geeft Erik aan dat de opvatting heerst dat veiligheid niet de eerste zorg is en dat software de eerste oorzaak is van moeilijkheden. Voor 2001 werd geen aandacht besteed aan software security. Vanaf 2002 toont Microsoft een overzicht van security bugs. Op 15 january 2002 stuurt Bill Gates een email aan zijn medewerkers met de boodschap dat security en privacy de belangrijkste onderwerpen zijn voor zijn producten. Hebben initiatieven sindsdien geleid tot verbetering? Studenten leerden niet veilig programmeren. Dit geldt ook voor gebruik van databases en bouwen van websites.
Security by design kreeg onvoldoende aandacht. Pentestrapporten werden niet gedeeld met andere teams binnen organisaties. We hebben tegenwoordig nog steeds moeite met buffer overflows, SQL injections en XSS. De risico’s nemen toe en onze belagers worden steeds slimmer. Zijn we eindelijk bereid SSD de hand te reiken? Hoe bereik je commitment in je organisatie voor SSD? Er valt nog veel te doen en het delen van je ervaringen en delen van je kennis met elkaar draagt bij de juiste stappen te maken.
De CIP SSD Practioners Community is daar zeer zeker geschikt voor.

Teamopdracht

‘Wat vinden jullie van de 9 additionele requirements van Centric naast de 31 SSD normen?
Zijn ze geschikt voor aanvulling op de huidige 31 SSD normen?’

Opgesplitst in 4 groepen gaan de aanwezige community leden energiek en geinspireerd door de sprekers, met enthousiasme aan de slag.
Op levendige wijze worden de mogelijk nieuwe normen onder de loep genomen en grondig besnuffeld en besproken.
De commentaren worden vervolgens plenair aan elkaar gepresenteerd en leveren veel nieuwe inzichten op.
Lijken sommige onderwerpen toch op een al bestaande SSD norm? Wat kun je mogelijk samenvoegen? Of toevoegen als sub-normen? De SSD-documenten komen goed van pas.
Rob van Vliet geeft aan blij te zijn met de gelegenheid de aanpak en aanvullende requirements van Centric te mogen presenteren en feedback van de deelnemers hierop te krijgen. Marcel Koers stelt een verdergaand interview met Centric voor om te bekijken of een update van SSD mogelijk aan de orde is.

Slot

Ad Kint verleidt de aanwezigen nog te poseren voor een groepsfoto en nodigt uit voor de afsluitende netwerkborrel.
Uit de gehouden evaluatie blijkt dat deze bijeenkomst met gemiddeld een 8 is gewaardeerd.

- - - - -

De met een * gemarkeerde velden zijn verplicht. U ziet eerst een voorbeeld en daarna kunt u uw bijdrage definitief plaatsen. Uw e-mailadres wordt niet op de site getoond. Reacties zonder achternaam worden verwijderd. Anoniem reageren alleen in uitzonderlijke gevallen in overleg met de redactie.