Een blik werpen op SSDLC

Jan 25, 2019 - 4 minuten leestijd
SSDLC

SSDLC – Het ontwikkelen van applicaties gaat steeds sneller en in een kortere cyclus. Dit heeft vooral te maken met de vraag vanuit de business en het sneller kunnen doorvoeren van aanpassingen. 10 jaar terug lag de snelheid van een cyclus veel lager, laten we zeggen dat dit gemiddeld 2 – 4 weken duurde. Eén cyclus bevat het proces van eisen bepalen tot dat code in een productie staat. Tegenwoordig wordt deze cyclus meerdere keren per dag doorgelopen. Ook worden kleinere aanpassingen naar de productie omgeving gezet.

Wat is SSDLC?

Rondom die cyclus zijn standaarden ontwikkeld om deze efficient en gecontroleerd te kunnen doorlopen. Enkele bekende standaarden zijn Scrum, Agile en Feature Driven. Deze standaarden kunnen één voor één samenvallen met de SSDLC. We hebben het hier over “Software Development Life Cycle”, maar wat is een SSDLC? Secure Software Development Life Cycle is een cyclus, waar applicaties in een veilige omgeving worden ontwikkeld en het product aan een security standaard voldoet. Een SSDLC dient ervoor te zorgen dat de security standaard wordt nagestreefd en de doorlooptijd zo min mogelijk wordt vertraagd. Een dergelijke standaard kan bijvoorbeeld OWASP zijn.

Het CIP (Centrum informatiebeveiliging en privacybescherming) heeft hiervoor een framework opgesteld waar ik in een volgend artikel op in zal gaan. Je kan hier meer informatie over vinden.

SSDLC model

De belangrijkste onderdelen

Voor een SSDLC zijn de verschillende processen, de contactmomenten en het ontwikkelproces de drie belangrijkste onderdelen. Je hebt alle drie onderdelen nodig om veilige software te ontwikkelen.

Een model is heel fijn, maar hoe werkt dit in de praktijk? Onderin het model zit het ontwikkelproces waar daadwerkelijk code wordt ontwikkeld. Om het ‘security by design’ principe hierin toe te passen zal eerst het ‘design’ gedefinieerd moeten zijn. De definitie hiervan zijn de standaard beveiligingseisen die voortvloeien uit een business impact analyse. Dit gedeelte bevindt zich bovenaan in het model waar de SSD processen staan. Een risico analyse bepaald de eisen door de risico’s te koppelen aan de vooraf gedefinieerd beveiligingseisen en beleid. Hierdoor krijgen applicaties met een hoog risico profiel de nodige security aandacht en degene met een lager profiel alleen de benodigde maatregelen

Contactmomenten tijdens het ontwikkelproces

Tijdens het ontwikkelproces zijn meerdere contactmomenten waarbij er getest wordt. Een secure code review, security test en pentesten achteraf zorgen ervoor dat de beveiligingseisen worden gecontroleerd. Voordat een applicatie naar productie gaat zijn er vaak risico’s te accepteren. Dit kan gebeuren doordat er risico’s over het hoofd zijn gezien of dat er tijdens het ontwikkelen veranderingen hebben plaats gevonden.

De uitkomsten van de risico acceptatie en de pentest worden door SSD processen doorlopen. Hierdoor worden de standaard beveiligingseisen of beleid bijgesteld. Daarnaast wordt er bijgehouden welk risico’s geaccepteerd zijn in een bepaald tijdsbestek. Dit wordt door management doorgenomen en eventueel de business impact analyse of beveiligingseisen aan te scherpen.

Security implementatie advies

Het neerzetten of optimaliseren van een bovenstaand model kan behoorlijk complex zijn. Er zijn meerdere lagen van een organisatiestructuur bij betrokken en elke rol kijkt anders naar een security model en de processen die hierbij komen kijken. LOUS kan hierin advies geven en stap voor stap de betrokkenen meenemen in een degelijke implementatie van SSDLC.

total-donations-plugin-kwetsbaar

Total Donations plug-in kwetsbaar (CVE-2019-6703)

Total Donations plugin kwetsbaar (CVE-2019-6703) Jan 27, 2019 – 3 minuten leestijd Door het Wordfence team zijn op 25 januari verschillende kritieke kwetsbaarheden gevonden in een betaalde WordPress plugin. Het gaat om
Artikel lezen

Een secure code review uitvoeren

Een secure code review Jan 12, 2019 – 3 minuten leestijd Het voelt tijdens het schrijven van deze blog dat een code review een ondergeschoven kindje is ten op zichten
Artikel lezen