Richtlijnen voor programmacode (best practices)

Uit NORA Online
ISOR:Richtlijnen voor programmacode (best practices)
Ga naar: navigatie, zoeken
Logo ISOR themaprincipes (vier hangsloten die in elkaar geklikt zitten met tekst ISOR Beveiliging Principe)

Programmacode wordt ontwikkeld door bepaalde type ontwikkelaars Dit ontwikkelen is geen eenmalige activiteit en vindt plaats langs een cyclisch proces van ontwikkelen, testen en verbeteren. Ten behoeve van een effectieve inrichting van dit cyclische proces moeten door de ontwikkelaars regels in acht worden genomen, waarbij zij gebruik moeten maken van afgesproken best practices. Zonder deze regels en afspraken bestaat het risico dat het voortbrengingsproces van de software/applicatie verstoord wordt met als consequentie dat het product niet onderhoudbaar is en/of niet efficiënt tot stand komt.


Criterium

Voor het ontwikkelen van (programma)code behoren specifieke regels van toepassing te zijn en gebruik te worden gemaakt van specifieke best practices.

Doelstelling

De reden waarom de norm gehanteerd wordt.

Risico

Indeling binnen ISOR

Dit beveiligingsprincipe:

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methode ingedeeld in drie aspecten:Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

Onderliggende normen

IDConformiteitsindicatorStelling
AppO_U.03.01 regels

De programmacode voor functionele specificaties is reproduceerbaar, waarbij aandacht wordt besteed aan:

  • gebruikte tools;
  • gebruikte licenties;
  • versiebeheer;
  • documentatie van code ontwerp, omgeving, afhankelijkheden, dev/ops, gebruikte externe bronnen.
AppO_U.03.02 regels

(Programma)code wordt aantoonbaar veilig gecreëerd.

AppO_U.03.03 regels

(Programma)code is effectief, veranderbaar en testbaar waarbij gedacht kan worden aan:

  • het juist registreren van code bugs;
  • het voorkomen van herintroductie van code bugs;
  • het binnen 72 uur corrigeren van beveiligingsfixes;
  • het vastleggen van afhankelijkheden van dev/ops van applicatie (relatie tussen softwareobjecten);
  • het adequaat documenteren van software-interface, koppelingen en API’s.
AppO_U.03.04 best practices

Over het gebruik van vocabulaire, applicatieframework en toolkits zijn afspraken gemaakt.

AppO_U.03.05 best practices

Voor het ontwikkelen van programmacode wordt gebruik gemaakt van gestandaardiseerde vocabulaire zoals ISO25010.

AppO_U.03.06 best practices

Ontwikkelaars hebben kennis van algemene beveiligingsfouten vastgelegd in een extern CVE (Common Vulnerability and Exposures) systeem.

AppO_U.03.07 best practices

Het gebruik van programmacode uit externe programmabibliotheken mag slechts na getest te zijn, worden gebruikt.