5.6.1. Korte samenvatting (veiligheidstesten)
Dit document beschrijft wat de Vlaamse overheid verstaat onder verschillende praktijken die de veiligheid van (software) code bewaken. Specifiek gaat het over:
Code review: het controleren van code op veiligheidsproblemen tijdens de ontwikkelings- en testfases
“Vulnerability scans”: het testen op kwetsbaarheden in een toepassing en haar onderliggende infrastructuur
Incidenten of waarschuwingen die voortkomen uit security mechanismen, zoals “Intrusion
Detection/Prevention Systems” of next-generation netwerk sensoren
Penetratietesten: het testen op kwetsbaarheden in toepassingen en websites in productie
Responsible Disclosure: publiekelijk de vraag stellen aan white hat hackers om kwetsbaarheden te zoeken in toepassingen en websites die in productie staan
In deze oplijsting zit een logische, chronologische volgorde, wat ook in lijn ligt met het concept van Security by Design.
Voor elk van deze praktijken brengen we in kaart:
welke risico’s ze afdekken
wat we exact onder elk van deze praktijken verstaan
in welke omgeving toepassingseigenaars of -beheerders deze moeten uitvoeren
tegen welke scope deze tests moeten gebeuren
welke tools je kunt gebruiken
Ook geven we aan hoe de (toepassings)eigenaar omgaat met het oplossen van gevonden kwetsbaarheden. Hierbij is risico-appetijt de basis.
Het is essentieel om binnen de (eigen) organisatie de rollen en verantwoordelijkheden duidelijk af te lijnen om tot een effectief beheer van kwetsbaarheden te komen. Het uitvoeren en inrichten van veiligheidstesten is hierin slechts de eerste stap. Elke entiteit kan zelf beslissen hoe ze zich hiervoor organiseert. In het hoofdstuk Rollen en verantwoordelijkheden geven we hier wel een aanzet voor.