17 security-tips voor ontwikkelaars (en testers)

Invoeropties testen, nadenken over aanvalsvectoren, tarpits, versleuteling; degelijke beveiliging is een feature die je als ontwikkelaar niet over het hoofd mag zien volgens Peter Wayner.

Horrorverhalen over securitylekken online lijken steeds erger te worden vindt hij. Eerst werden er her en der creditcardgegevens gestolen, daarna werden er duizenden in één klap opgezogen en later werden dat miljoenen records van financiële gegevens die slecht beveiligde bedrijfsomgevingen verlieten.

Inmiddels zijn we volgens Peter afgestompt voor de bedreiging door al het nieuws over wéér een grote hack. Creditcardgegevens zijn maar een klein onderdeel van de buit waar gewiekste cybercriminelen op uit zijn en er komen schokkende verhalen uit de onderzoekscentra die de cyberoorlog bestuderen.

Peter schrijft dat het ontwerpen van veilige software al begint voordat de eerste regels worden geschreven – en dat is eigenlijk een Herculestaak. Om gatenbestendige code te schrijven moeten ontwikkelaars, ontwerpers, auditors en managers van tevoren bedenken wat er allemaal mis kan gaan met elk aspect van de programmatuur. Het is onmogelijk, zegt Peter, om alle acrobatische toeren te voorzien die slimme hackers, maar je kunt wel de aanvalsvectoren beperken en zorgen dat bij een eventuele inbraak de impact beperkt blijft.

Hier kun je de 17 tips van Peter lezen waarmee ontwikkelaars sterker beveiligde code te maken. Maar uiteraard kunnen testers ook voordeel halen uit deze tips. Deze lijst is volgens hem verre van volledig, maar is een goed begin om je dichter bij dat doel te brengen.