Managed hosting door True

Discussie

‘CVE’s zeggen niets over softwaresecurity’

 

authenticatie

Oordelen over softwaresecurity op basis van CVE’s slaan de plank mis. Dit is de discussiestelling die Computable-lezers vandaag krijgen voorgelegd.

Tellingen van aantallen CVE’s (common vulnerabilities and exposures) in softwareproducten geven misschien wel een indicatie van security, maar zijn zeker niet doorslaggevend. De bekende CVE-database met kwetsbaarheden in software als Android, Mac OS en Internet Explorer is slechts een graadmeter. Enerzijds omdat het niet alle kwetsbaarheden bevat of kan bevatten. De database heeft alleen die gevallen die publiekelijk bekend zijn en officieel gemeld worden.

Anderzijds zegt een simpele telling van CVE’s niets over de ernst van de kwetsbaarheden, naast nog de mate van misbruikbaarheid van die zwakke plekken in software. Een kleine kwetsbaarheid weegt in een simpele optelsom net zo zwaar als een impactvolle kwetsbaarheid. Verder zijn beide soorten wel of niet af te vangen door ingebouwde beschermingsmaatregelen. CVE-tellingen alleen zeggen dus te weinig over de (on)veiligheid van software. Ook als de impactscores meegewogen worden. Wat vind jij?

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/5951478). © Jaarbeurs IT Media.

?


Lees meer over


Partnerinformatie
 

Reacties

Laten we wel zijn, security loopt altijd een stap achter de feiten. Dat op zich is een feit, hoeveel volzinnen je over dit onderwerp ook wil bedenken en neerpennen. Een database is wat dat betreft natuurlijk altijd incompleet. Maar..... dit hebbende geconstateerd, weerhoud niets en niemand de IT professional die aan het programmeren is, om na te denken over dit onderwerp.

Kennis van louter je eigen programeren is allang niet meer genoeg. Je zal gedegen kennis moeten dragen van het platform waarop je werkt, hoe de security is geregeld en waar jouw plekje in de keten is. Je als professional ook als halve crimineel gaan gedragen in je werk is daarbij helemaal geen slecht idee. Als je namelijk de gaten in je eigen werk kunt ontdekken en dichten, is dat al een hele stap op zich.

In de commerciele zucht en hype in het 'app tijdperk', lijkt nu net dit besef en bewustzijn, nog nooit zo afwezig in de IT professional. Mijn simpele advies, ga daar eens zakelijk mee beginnen en sterker, laat men hier de slag ook eens gaan slaan in de opleiding en de aanloop naar loopbaan.

Het mag eindelijk wel eens een keer. Uiteraard uitzonderingen daargelaten...

CVE’s zeggen wel wat over softwaresecurity. Het is dus een graadmeter / KPI en nog een belangrijke ook.

Uiteraard gaat het over de situational awareness. Welk component? Waar staat het? Wie gebruikt het? Wat is het risico / impact. Wordt het product actief onderhouden? Wat is hun trackrecord? Wie zitten erachter? Wat is de use case?

Simplificaties zijn vaak niet bruikbaar, en een uitspraak dat het niets zegt klopt dus niet.

Jouw reactie


Je bent niet ingelogd. Je kunt als gast reageren, maar dan wordt je reactie pas zichtbaar na goedkeuring door de redactie. Om je reactie direct geplaatst te krijgen, moet je eerst rechtsboven inloggen of je registreren

Je naam ontbreekt
Je e-mailadres ontbreekt
Je reactie ontbreekt
Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×