Versions Compared

Version Old Version 2 New Version Current
Changes made by

Tom De Cubber

Tom De Cubber

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Note

Om review makkelijker te maken werden de wijzigingen tegenover ICRv2 als volgt in de tekst duidelijk gemaakt:

  • Nieuw toegevoegde tekst wordt overal in het rood weergegeven

Wat is het?

Met code review bedoelen we alle manuele/geautomatiseerde controles die je kunt doen om de veiligheid van de code van een toepassing te controleren. Afhankelijk van de fase waarin je ontwikkeling zich bevindt, is een ander soort review nodig. Deze reviews gebeuren in de ontwikkel-, test- of acceptatieomgeving.

...

  • Code review focust op kwetsbaarheden die voorkomen in de “OWASP top 10” (zie link op p.3) (https://owasp.org/www-project-top-ten ), waarbij je het MITRE ATT&CK framework (https://attack.mitre.org/ ) als achtergrondinformatie kan gebruiken om mogelijke aanvalspatronen te herkennen en te mitigeren in de code. 

  • Je kunt ook specifieke dreigingen checken, bijvoorbeeld gebaseerd op gepubliceerde kwetsbaarheden. Deze kun je bijvoorbeeld vinden op https://www.cvedetails.com/ of https://www.exploit-db.com/search?q=

  • Je maakt een risico-afweging van welke kwetsbaarheden je moet oplossen. Het streefdoel is dat je zoveel mogelijk kwetsbaarheden oplost in de mate van het financieel/projectmatig haalbareAls . Naargelang van je risico-appetijt kun je bepaalde kwetsbaarheden niet behandelt, moet je dit in meenemen naar een volgende fase meenemen en zien of je daar kunt oplossenin de ontwikkeling. 

  • Je zorgt ervoor dat dit proces deel uitmaakt van je quality assurance op nieuwe ontwikkelingen. Je promoveert je code pas naar een volgende fase als alle mogelijke kwetsbaarheden kwetsbaarheden die je wilt oplossen volgens je risico-appetijt, opgelost zijn

Welke tools?

  • De Vlaamse overheid legt geen specifieke tools op. Het team Informatieveiligheid kan wel advies verlenen

  • Dit is een dienst die je kunt afnemen binnen het raamcontract

Scope?

  • Alle online toepassingenniet-SaaS applicaties

  • Alle websites

  • Alle intern ontsloten toepassingen (enkel toegankelijk voor geauthenticeerde gebruikers op het Vlaamse overheid-netwerk)

...

  • Ingekochte toepassingen

    • Hierbij is het belangrijk om na te gaan dat de leverancier deze praktijk toepast. Dit kun je contractueel indekken en deel laten uitmaken van de risicoanalyse van het contracteringsproces. Contacteer hiervoor de Aankoopcentrale

    • Afhankelijk van de risico-appetijt van de entiteit, kun je deze controle grondig uitvoeren en expliciet de bewijslast van de leverancier analyseren en beoordelen; of vertrouwen op de contractuele clausules.  

    • Deze check doe je vóór je de code of de toepassing inkoopt of installeert. Hier geldt ook het principe dat hoe vroeger je je ervan vergewist dat het oké is, hoe makkelijker het verloop van het proces

  • Open source code

    • Ook bij open source code en toepassingen is het belangrijk om deze controles uit te voeren

    • Zeker bij open source is dit een gesprek dat je moet voeren met de community die instaat voor het onderhouden van de code

    • Deze check doe je vóór je de code of toepassing uitrolt of installeert. In dit soort opzet is zo’n controle natuurlijk heel moeilijk afdwingbaar. Zelfs zonder deze afdwingbaarheid, kun je proberen bepaalde controles uit te voeren en de feedback te bezorgen aan de community, in zoverre de voorwaarden dit toelaten. 

Ook voor ingekochte code, of open source code gebeurt dit soort oefening in de ontwikkel-, test- of acceptatieomgeving.