Comsec Consulting, Europees adviseur op het gebied van informatiebeveiliging, start een applicatiebeveiligingsdienst die technologie en menselijke expertise combineert. De dienst, genaamd Codefend, biedt een uitgebreide analyse van softwarecode en identificeert kwetsbaarheden.
Door dit proces uit te besteden aan Comsec wordt softwareontwikkeling goedkoper en is software sneller te vermarkten, omdat het aantal foutmeldingen in software in een keer wordt gereduceerd en de introductie van software met kwetsbaarheden wordt vermeden. Het bedrijf houdt op 24 september a.s. een seminar om deze dienst te introduceren.
Codefend is een on-demand service waarmee ontwikkelaars softwarecode naar Comsec kunnen opsturen om te laten controleren op beveiligingsrisico’s. De combinatie van geavanceerde analysetechnologie en de kennis en kunde van de security-experts van Comsec leveren een uitgebreide en diepgaande analyse op. Hiermee kunnen vrijwel alle kwetsbaarheden worden opgespoord en opgelost. Doordat de resultaten van de geautomatiseerde analysetools nog eens handmatig worden doorlopen, levert Codefend een betere interpretatie van softwarecode op dan de bestaande analysevormen die gebaseerd zijn op tools alleen.
Henk van der Heijden, managing director van Comsec Benelux: "Het is juist de combinatie van techniek en jarenlange menselijke ervaring die deze dienst interessant maakt. Het biedt het beste van twee werelden, met als resultaat de meest diepgaande en bedrijfsspecifieke softwareanalyse die mogelijk is. De techniek zorgt voor een snelle en goedkope analyse, terwijl het maatwerk en de onmisbare juiste interpretatie uit mensenhanden komt."
Voordelen
Codefend zorgt voor een gestroomlijnde softwareontwikkeling dankzij de ‘Solution as a Service’-aanpak. Dankzij de brede technologische ondersteuning, logistieke en financiële
flexibiliteit kunnen kosten voor het herschrijven van software tot vijftig procent worden gereduceerd. Door het analyseren van code uit te besteden, is het aanschaffen van analysetools niet nodig en zijn er sneller resultaten te boeken, omdat er geen interne mensen getraind hoeven te worden.
De veelzijdigheid van Codefend zorgt er tevens voor dat het voor bedrijven uit allerlei sectoren en van verschillende groottes geschikt is. Hierdoor komt verregaande codeanalyse ook in het bereik van kleinere ontwikkelaars.
Van der Heijden: "Hoewel er andere analysetools op de markt zijn, is het geen geheim dat hun automatisering ook de zwakste schakel is. Mensenwerk blijft noodzakelijk voor het beste resultaat. Nu wordt dit meestal door interne mensen opgepakt, nadat ze uitgebreid zijn getraind. Door zowel de techniek als de interpretatie uit te laten voeren door ervaren experts voorkom je veel extra kosten en verloopt het proces een stuk sneller."
Seminar
Op donderdagmiddag 24 september a.s. is er een seminar in Holland Casino Utrecht waar Comsec deze dienst introduceert. Hier spreken onder meer de voormalig CIO van de Nederlandse Spoorwegen, Kostas Gerogiannis, en René Schaap van SQS Nederland over compliance en kwaliteitsmanagement bij applicatieontwikkeling. Het seminar is bedoeld voor iedereen die te maken heeft met ICT, informatiebeveiliging, applicatieontwikkeling, e-commerce of SaaS-omgevingen. Meer informatie over het seminar of aanmelden hiervoor kan door email te sturen naar Uscha Maltie via uscham(at)comsecglobal.com.
Specificaties
Ontwikkelaars kunnen veelzijdige codes ter review aanbieden, zoals C#, VB, DotNet, C, PHP, Java, Javascript en C++. De Comsec-experts kijken onder andere naar kwetsbaarheden zoals ze worden omschreven in de OWASP (Open Web Application Security Project) Top Ten en de CWE/SANS Institute (Common Weakness Enumeration & SysAdmin, Audit, Network, Security) Top 25. De kwetsbaarheden die hierin worden genoemd betreffen onder andere stored XSS, authorization en authentication bypass, race conditions, injections (XML, LDAP, SQL, malicious code) en filter evasions. Door de handmatige controle worden false positives en business logic flaws voorkomen.