Column


IT-jurist Peter van Schelven over...

Pentesten: neemt u die serieus?

Stel, je runt een softwarehuis en in dat verband ben je de maker van een standaard softwareapplicatie. Voordat je het product op de markt brengt, onderwerp je het vanzelfsprekend aan een reeks gedegen functionele en technische testen. Je wenst immers een product aan de man te brengen dat door afnemers zonder onaanvaardbare risico’s kan worden gebruikt. Ernstige gebreken moeten nog voor ingebruikname worden blootgelegd en worden verholpen. De testen die jij als producent van het pakket in eigen huis uitvoert, kunnen worden onderscheiden van de acceptatietest die afnemers niet zelden zelf uitvoeren alvorens ze de aangeschafte software in hun productieomgeving inzetten.

In het streven zo veilig mogelijke software te maken en te exploiteren, wensen makers van software hun nieuwe producten of updates op bestaande producten steeds vaker ook te testen op security. Decennialang waren securitytesten een tamelijk ondergeschoven kindje in softwareland, maar die tijd ligt inmiddels goeddeels achter ons. Softwareproducenten schakelen – vaak op eigen initiatief, maar soms ook onder druk van hun (toekomstige) afnemers – externe specialisten in om het product te onderwerpen aan een of meer penetratietesten. Zoiets kan vanuit een security-optiek natuurlijk alleen maar worden toegejuicht. De bevindingen van een penetratietest kunnen worden gebruikt om zwakheden in de security aan het daglicht te brengen en om vervolgens tot correctieve stappen over te gaan.

Verder lezen?

Log in en lees verder of maak hier uw persoonlijk profiel aan en ontvang als eerste het laatste securitynieuws. Speciaal voor u geselecteerd!

Dit veld is verplicht
Vul een geldige e-mailadres in
Dit veld is verplicht