Richtlijn programmacode
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.
|
Objectdefinitie
Betreft systematisch ontwikkelde aanbevelingen voor de broncode van een applicatie.
Objecttoelichting
De programmacode wordt ontwikkeld door bepaalde typen ontwikkelaars. Het ontwikkelen is geen eenmalige activiteit en vindt plaats langs een cyclisch proces van ontwikkelen, testen en verbeteren. Voor een effectieve inrichting van dit cyclische proces nemen ontwikkelaars regels in acht, waarbij zij gebruik maken van afgesproken best practices. Zonder deze regels en afspraken bestaat het risico dat het voortbrengingsproces van de software/applicatie verstoord wordt, met als consequentie dat het product niet onderhoudbaar is en/of niet efficiënt tot stand komt.
Criterium
Doelstelling
Risico
Indeling binnen ISOR
Dit beveiligingsprincipe:
- is gericht op het Beveiligingsaspect Uitvoering;
- valt binnen de Invalshoek Intentie.
ℹ️(Klik om uitleg open/dicht te klappen)
Grondslag
De grondslag voor dit principe is CIP-netwerk
Onderliggende normen
ID | Conformiteitsindicator | Stelling |
---|---|---|
APO_U.03.01 | Regels |
De programmacode voor functionele specificaties is reproduceerbaar, waarbij aandacht wordt besteed aan:
|
APO_U.03.02 | Regels |
De (programma)code wordt aantoonbaar veilig gecreëerd. |
APO_U.03.03 | Regels |
De (programma)code is effectief, veranderbaar en testbaar waarbij gedacht kan worden aan:
|
APO_U.03.04 | Best practices |
Over het gebruik van de vocabulaire, applicatie-framework en toolkits zijn afspraken gemaakt. |
APO_U.03.05 | Best practices |
Voor het ontwikkelen van programmacode wordt gebruik gemaakt van gestandaardiseerde vocabulaire zoals de NEN-ISO/IEC 25010 Systems and software Quality Requirements and Evaluation (SQuaRE) - System and software quality models. |
APO_U.03.06 | Best practices |
Ontwikkelaars hebben kennis van algemene beveiligingsfouten, vastgelegd in een extern Common Vulnerability and Exposures (CVE)- systeem. |
APO_U.03.07 | Best practices |
Het gebruik van programmacode uit externe programmabibliotheken mag pas worden gebruikt na getest te zijn. |