Veilige software ontstaat niet vanzelf. Hiervoor zijn consistent toegepaste methodologieën binnen de hele organisatie nodig: methodologieën die voldoen aan vastgestelde beleidsregels, doelstellingen en principes. Het doel is veilige programmatuur te produceren: Oracle vereist dat alles wat wordt ontwikkeld, voldoet aan bepaalde principes voor veilig programmeren die zijn opgesteld en gecommuniceerd, en waarin het personeel is opgeleid.

Over de hele linie een gegarandeerd hoge kwaliteit

Om ervoor te zorgen dat Oracle-producten worden ontwikkeld met een consistent hoge beveiligingswaarborg en om te helpen voorkomen dat ontwikkelaars de bekende programmeerfouten maken, hanteert Oracle officiële normen voor veilig programmeren.

De normen voor veilig programmeren van Oracle vormen een richtlijn voor ontwikkelaars bij hun inspanningen om veilige programmatuur te ontwikkelen. Ze bevatten algemene beveiligingskennis, zoals ontwerpprincipes, veelvoorkomende kwetsbaarheden, enz., en geven gericht advies over onderwerpen zoals datavalidatie, dataprivacy, CGI, gebruikersbeheer en meer.

Alle Oracle-ontwikkelaars moeten deze normen kennen en toepassen bij het ontwerpen en bouwen van producten. De programmeernormen zijn in de loop der jaren tot stand gekomen en bevatten zowel best practices als lessen die zijn opgedaan tijdens het continu testen op kwetsbaarheden door het interne productbeoordelingsteam van Oracle. Oracle garandeert dat ontwikkelaars vertrouwd zijn met de programmeernormen door hen te onderwerpen aan een verplichte training in veilig programmeren. De normen voor veilig programmeren vormen een essentieel onderdeel van Oracle Software Security Assurance, en de naleving van de normen wordt getoetst en gevalideerd tijdens de gehele levensduur van alle Oracle-producten.

Dynamiek van de normen voor veilig programmeren

De normen voor veilig programmeren van Oracle hebben zich in de loop der tijd ontwikkeld en uitgebreid, en hebben betrekking op de meest voorkomende problemen met Oracle-programmatuur, inzichten en geleerde lessen, nieuw ontdekte bedreigingen en nieuwe gebruiksscenario´s door Oracle-klanten. De normen voor veilig programmeren bestaan niet in een vacuüm en vormen evenmin een erratum op de softwareontwikkeling. Ze zijn geïntegreerd in taalspecifieke normen zoals C/C++, Java en PL/SQL en vormen een belangrijke hoeksteen voor de Oracle Software Security Assurance-programma’s en -processen.

Het belang van training van ontwikkelaars

In de loop der jaren heeft Oracle interne trainingen ontwikkeld op basis van de normen voor veilig programmeren. Oracle biedt deze trainingen op doorlopende basis aan de productontwikkelingsorganisatie aan, waaronder niet alleen de ontwerpers, maar ook het productmanagement, het releasemanagement en de kwaliteitsmedewerkers vallen. De training is niet zuiver bestemd voor individuele medewerkers; ook managers tot en met het niveau van de vicepresident zijn verplicht de lessen veilig programmeren te volgen. Deze permanente educatie zorgt ervoor dat ontwikkelaars vertrouwd zijn met alle aspecten van veilig programmeren en begrijpen dat Oracle de lat hoog legt bij het produceren van kwaliteitsproducten.