Oordelen over softwaresecurity op basis van CVE’s slaan de plank mis. Dit is de discussiestelling die Computable-lezers vandaag krijgen voorgelegd.
Tellingen van aantallen CVE’s (common vulnerabilities and exposures) in softwareproducten geven misschien wel een indicatie van security, maar zijn zeker niet doorslaggevend. De bekende CVE-database met kwetsbaarheden in software als Android, Mac OS en Internet Explorer is slechts een graadmeter. Enerzijds omdat het niet alle kwetsbaarheden bevat of kan bevatten. De database heeft alleen die gevallen die publiekelijk bekend zijn en officieel gemeld worden.
Anderzijds zegt een simpele telling van CVE’s niets over de ernst van de kwetsbaarheden, naast nog de mate van misbruikbaarheid van die zwakke plekken in software. Een kleine kwetsbaarheid weegt in een simpele optelsom net zo zwaar als een impactvolle kwetsbaarheid. Verder zijn beide soorten wel of niet af te vangen door ingebouwde beschermingsmaatregelen. CVE-tellingen alleen zeggen dus te weinig over de (on)veiligheid van software. Ook als de impactscores meegewogen worden. Wat vind jij?
Laten we wel zijn, security loopt altijd een stap achter de feiten. Dat op zich is een feit, hoeveel volzinnen je over dit onderwerp ook wil bedenken en neerpennen. Een database is wat dat betreft natuurlijk altijd incompleet. Maar….. dit hebbende geconstateerd, weerhoud niets en niemand de IT professional die aan het programmeren is, om na te denken over dit onderwerp.
Kennis van louter je eigen programeren is allang niet meer genoeg. Je zal gedegen kennis moeten dragen van het platform waarop je werkt, hoe de security is geregeld en waar jouw plekje in de keten is. Je als professional ook als halve crimineel gaan gedragen in je werk is daarbij helemaal geen slecht idee. Als je namelijk de gaten in je eigen werk kunt ontdekken en dichten, is dat al een hele stap op zich.
In de commerciele zucht en hype in het ‘app tijdperk’, lijkt nu net dit besef en bewustzijn, nog nooit zo afwezig in de IT professional. Mijn simpele advies, ga daar eens zakelijk mee beginnen en sterker, laat men hier de slag ook eens gaan slaan in de opleiding en de aanloop naar loopbaan.
Het mag eindelijk wel eens een keer. Uiteraard uitzonderingen daargelaten…
CVE’s zeggen wel wat over softwaresecurity. Het is dus een graadmeter / KPI en nog een belangrijke ook.
Uiteraard gaat het over de situational awareness. Welk component? Waar staat het? Wie gebruikt het? Wat is het risico / impact. Wordt het product actief onderhouden? Wat is hun trackrecord? Wie zitten erachter? Wat is de use case?
Simplificaties zijn vaak niet bruikbaar, en een uitspraak dat het niets zegt klopt dus niet.