Grip op Secure Software Development/Wijzigingen ten opzichte van de versie 2

Uit NORA Online
< Grip op Secure Software Development
Versie door Annemiekedewit (overleg | bijdragen) op 9 aug 2022 om 10:40 (status veranderd)
(wijz) ← Oudere versie | Huidige versie (wijz) | Nieuwere versie → (wijz)
Naar navigatie springen Naar zoeken springen
Exporteer naar RDF
”Dit plaatje duidt aan dat de pagina's met betrekking tot deze Thema-uitwerking in bewerking zijn”
Deze Thema-uitwerking is in onderhoud
Thema-uitwerking Grip op Secure Software Development is in onderhoud, zolang er bij de status Concept staat.
Versie 3.0 van deze Thema-uitwerking van 20 juli 2020 wordt namelijk op dit moment voor het eerst opgevoerd.

Versie 3.0 maar ook versie 2.0 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.

Logo ISOR (vier hangsloten die in elkaar geklikt zitten met de tekst Information Security Object Repository)
ID: SSD_TOEL W2
Hoofdstuk normenkader
Status: Actueel
Publicatiedatum: 9-8-2022
Redactionele wijzigingsdatum: 2-8-2022
Alle hoofdstukken bij Grip op Secure Software Development:

Hieronder volgt een overzicht van de belangrijkste wijzigingen die in deze versie (3.0) van Grip op SSD Beveiligingseisen zijn doorgevoerd. De oude versie (2.0) blijft nog beschikbaar op de site www.cip-overheid.nl voor organisaties die op basis daarvan nog lopende afspraken hebben.

Overzicht van de wijzigingen

  • Honderden verbeteringen en verduidelijkingen in tekst:
    • Verzamelde input van de community is verwerkt.
    • Reviews door de werkgroepleden.
    • Meer duidelijke teksten. SSD-2 is bijvoorbeeld van titel veranderd naar "Veilige gegevensopslag" omdat het eigenlijk daarover ging. SSD-3 is om dezelfde reden van titel veranderd naar "Veilige externe componenten".
  • Meer opgesteld als samenhangende gids:
    • De normen waren eerder willekeurig geordend. In v3.0 zijn de normen gestructureerd naar verantwoordelijkheden en ook zo benoemd, zodat het document de lezer meer aan de hand neemt hoe de verschillende verantwoordelijkheden worden ingevuld.
    • Per norm is beschreven in welke situaties de norm van toepassing is.
  • Per eis zijn een aantal klikbare verwijzingen opgenomen naar praktische handreikingen/details.
  • Gapanalyse is uitgevoerd met OWASP ASVS en enkele zaken zijn aangevuld.
  • Up to date gebracht met onder meer nieuwe ISO27002- en NCSC-richtlijnen. Verwijzingen zijn aangebracht.
  • SSD-6 (interne gebruikers) is opgegaan in SSD-5 die nu gaat over alle gebruikers.
  • SSD-10 Concurrent Session Control is vervallen.
  • SSD-12A Session lock Vervalt als eis (staat geheel los van de applicatie).
  • SSD-11: System use notification is verwijderd. Dit is slechts in speciale gevallen een criterium - die dan typisch al onderdeel uitmaakt van de functionele eisen.
  • SSD-18 is vervallen vanwege duplicatie in onder meer SSD-22.
  • SSD-25 Beperken van te tonen headers is opgenomen in SSD-24 Beperken van te sturen headers.
  • SSD-32 is nieuw en bevat alle normen voor het configureren van HTTP response headers. Eerder stond dat overal verspreid.
  • SSD-33 (XML injectie) toegevoegd omdat deze ook in de SSD-mobiele eisen staat en in de laatste versie van de OWASP top 10 wordt genoemd omdat het een veel voorkomend issue is.

Datum waarop document het laatst is gepubliceerd (http://standaarden.overheid.nl/owms/4.0/doc/eigenschappen/dcterms.modified)

Datum waarop de laatste versie is geïmplementeerd of de laatste wijziging is aangebracht.

Overgenomen van "https://www.noraonline.nl/index.php?title=Grip_op_Secure_Software_Development/Wijzigingen_ten_opzichte_van_de_versie_2&oldid=62646"