Een maturiteitsmodel voor software security

Erwin Geirnaert (erwin.geirnaert@zionsecurity.com) is medeoprichter van Zion Security en Zion Telefonie.

Onlangs was ik één van de gelukkigen die een presentatie van dr. Gary McGraw op de OWASP Chapter Meeting in Leuven mocht bijwonen. Inderdaad, een premièrevoorstelling van "Building Security in Maturity Model". Gary deelde er de resultaten van een studie rond software security mee, die uitgevoerd werd bij softwaregiganten zoals Microsoft, Google en Adobe en bij financiële instellingen zoals Wells Fargo en Depository Trust & Clearing Corp (het clearinghouse van Nasdaq en NYSE).

Even kort de achtergrond: tien jaar geleden schreef Gary McGraw het boek Building Secure Software, zowat de bijbel van software security. Een paar boeken, columns, blogs en podcasts later vatte Gary, samen met Brian Chess van Fortify, het plan op om een maturiteitsmodel zoals CMMI op te stellen voor software security. Niet vanuit een academische achtergrond of door nieuwe ideeën te formuleren, maar door te bestuderen hoe softwarebouwers met een software security group (SSG) vandaag veilige applicaties ontwikkelen. Om dat te achterhalen, werden de verantwoordelijken binnen de SSG geïnterviewd. Voor Microsoft was dat bijvoorbeeld Steve Lipner, de man die onder andere het boek Secure Development Lifecycle schreef.

Het model definieert drie maturiteitsniveaus en een software security framework bestaande uit twaalf activiteiten binnen vier domeinen (governance, intelligence, SSDL touchpoints en deployment). Een eenvoudig voorbeeld: binnen het domein 'deployment' geeft de activiteit 'penetration testing' afhankelijk van de uitvoeringswijze (manueel, geautomatiseerd, door externen, ...) een indeling naar maturiteitsniveau.

De bedrijven wilden vooral aan het onderzoek deelnemen uit nieuwsgierigheid naar de aanpak van andere bedrijven. Maar ze waren erg enthousiast toen ze de resultaten onder ogen kregen. De meeste bedrijven volgden dezelfde aanpak, hadden een goede insteek rond software security en voerden gelijkaardige activiteiten uit. Natuurlijk waren er wel enkele aandachtspunten of openstaande activiteiten, maar over het algemeen zijn het interessante resultaten voor elk bedrijf dat veilige software wil ontwikkelen en zich op praktische ervaringen wil baseren in plaats van op een theoretische utopie.

Enkele cijfers: ieder bedrijf heeft een SSG die uit 1% van het totaal aantal ontwikkelaars bestaat. Concreet komt het er bijvoorbeeld op neer dat Microsoft, met 10.000 programmeurs in dienst, een SSG van 100 mensen heeft. Trekken we de lijn door naar de Belgische markt, dan zou er in elk softwarebedrijf met tien ontwikkelaars één persoon moeten zijn die zich met software security bezighoudt. Dat eenvoudige voorbeeld toont aan dat Belgische softwarebouwers nog veel werk voor de boeg hebben.

Misschien is dit relaas voor de meeste lezers niet concreet genoeg, maar ik raad iedere security- of ontwikkelingsverantwoordelijke of geïnteresseerde buitenstaander aan om het document gratis te downloaden (bsi-mm.com), aandachtig te bekijken en zelf conclusies te trekken.
 

bron: IT Professional

Reageer op dit artikel

0 reacties op dit artikel: