CTG uit Diegem zegt dat er te weinig aandacht is voor security testing van webapplicaties. Een gebrek aan middelen tijdens de ontwikkelingsfase en te strakke deadlines zijn vaak nefast voor de veiligheid van applicaties. Het ICT-dienstenbedrijf pleit daarom voor de invoering van een kwaliteitslabel dat de veiligheid van websites en webapplicaties garandeert.
“Foutloze webapplicaties bestaan niet. Toch kunnen bedrijven preventieve maatregelen nemen om de mazen in hun ICT-web te dichten”, zegt Jouri Dufour. Als Security Test Consultant en ethisch hacker bij CTG onderzocht hij via welke poortjes hackers het makkelijkst een applicatie of website kunnen binnendringen. “Hackers weten maar al te goed dat elke webapplicatie een zwak punt heeft. Terwijl zij zoeken naar de zwakheden, focussen ontwikkelaars en testers eerder op de uitstekende werking van de webapplicatie. Functional testing is ingeburgerd, maar security testing wordt nog te vaak achterop gesteld. Dat blijkt uit de vele verhalen over hacking die we tegenwoordig via de media oppikken.”
“We merken wel dat veiligheid aan belang wint, en dan vooral bij overheidsinstellingen en banken”, zegt Dufour. “Maar in andere sectoren is men er in de praktijk vaak minder mee bezig. Elk bedrijf zou een bewijs moeten eisen dat zijn webapplicatie op veiligheid werd getest en gevalideerd. Dit zou de regel moeten zijn en niet de uitzondering. Het is als tester of ontwikkelaar niet vanzelfsprekend om de kennis te vergaren die de hacker heeft. Daarom bestaan er ook producten die automatische ‘penetration testen’ of ‘code reviewing’ doen.”
CTG wil kwaliteitslabel voor veilige webapplicatie
31 maart, 2015
