Nieuwe site bepaalt beste praktijken voor softwareveiligheid

Hoeveel beveiliging officieren moeten er zijn voor elke softwareontwikkelaar? Blijkt dat het antwoord er één is voor elke 100. Deze en andere beste best practices voor softwarematige beveiliging maken nu deel uit van een gezamenlijk project tussen beveiligingsleverancier Fortify en het beveiligingsadviesbureau Cigital.

Onder Building Building Security In Maturity Model (BSIMM), de project is niet bedoeld als een "how to", of zelfs een one size fits all oplossing voor het schrijven van veilige code, volgens Fortify. In plaats daarvan is BSIMM het resultaat van gesprekken over softwarebeveiligingsmethoden die Fortify en Cigital hadden met bedrijven zoals Adobe, EMC, Google, Microsoft, QUALCOMM, Wells Fargo en Depository Trust & Clearing Corporation (DTCC).

In veel gevallen de bedrijven deden in principe dezelfde dingen. Alle geïnterviewde organisaties hebben bijvoorbeeld een geïnstitutionaliseerd curriculum voor beveiligingsopleiding voor programmeurs, QA-engineers en projectmanagers. Elk van de negen ondernemingen heeft een aangewezen groep softwarebeveiligingsteam - één voor elke honderd softwareontwikkelaars. En alle geïnterviewde bedrijven leggen de nadruk op beveiligingseducatie, technische hulpmiddelen en mentoring in plaats van op het controleren op beveiligingsfouten en het uitdelen van straffen. <[Verder lezen: hoe u malware van uw Windows-pc verwijdert]

Het resultaat is een zeldzaam inzicht in wat succesvolle organisaties daadwerkelijk doen om beveiliging in hun software te bouwen, en de tools op de site kunnen gratis worden gedownload door organisaties die het bedrijfsrisico van onveilige applicaties willen beperken. Het Software Security Framework (SSF), opgenomen in de BSIMM, is bijvoorbeeld een aanpasbaar beveiligingsmodel waarmee elke organisatie hun huidige staat van softwareontwikkeling kan beoordelen, wijzigingen prioriteit kan geven en de voortgang kan inschatten.

Het model gebruikt een dozijn categorieën om alle stappen tussen het trainen en testen van software te illustreren nadat het is geschreven. Er is een lijst met activiteiten binnen elke categorie die is ontworpen om de software van een bedrijf veiliger te maken. De activiteiten vragen het bedrijf om voorbeelden uit zijn eigen geschiedenis te geven om de punten te personaliseren.

Als dit vertrouwd klinkt, is het dat wel. Afgelopen zomer kondigde Mozilla een soortgelijk project aan dat werd geïnitieerd door Window Snyder voordat ze het bedrijf verliet. Ook daar moesten de beste beveiligingspraktijken die in Mozilla werden gebruikt gemodelleerd en aangeleerd worden aan andere bedrijven. Het Mozilla Metrics-project wordt momenteel uitgevoerd door Rich Mogull.