Zonder code is er geen IT en onveilige code kan onbedoeld het zelfde effect hebben. Daarom wordt er al zo lang gesproken over methoden code beter en veiliger te krijgen. Dat die discussie nog steeds loopt geeft aan dat er geen simpele oplossing bestaat.
De IT sector ziet de hoeveelheid onveilige code eerder toe dan afnemen. Dat komt omdat er meer code nodig is, de tijdsdruk alsmaar toeneemt en er te weinig ruimte is de kennis bij te houden. Omdat dit allemaal al lang bekend is, zoekt men naar een oplossing. De kreet DevSecOps is er daar een van. Het idee daarachter is dat tijdens elke stap in het inkloppen en implementeren van code wordt getest of er geen fouten in zitten. Dat klinkt als een goed plan. Er zijn dan ook talloze bedrijven die met het begrip schermen. Ze geven aan daar tools voor te hebben of de methodiek te eisen van leveranciers.
Probleem
Er is echter een gigantisch probleem. De bedrijven die hier het meest over communiceren, dat zijn grote spelers als IBM, Atlassian, Azure en VMware. Die spreken stuk voor stuk maar een deel van de markt aan. De klanten die zij adresseren en bedienen zijn niet de afnemers van een IP-camera, printer of slimme thermostaat. Precies die groep gebruikers, beter bekend als de consument, heeft waarschijnlijk het meeste te maken met brakke code. Maar hij heeft dat lang niet altijd in de gaten. Pas als zijn provider ingrijpt dringt door dat hij deel van een botnet was.
De vraag code te controleren kan niet bij deze groep worden neergelegd. Daarom dat de EU fabrikanten, importeurs en distributeurs daarop
aanspreekt. Die kunnen veel controleren, maar ook niet alles. Wat de consument met het device doet kan nooit met 100% zekerheid worden vastgesteld. Een huis-tuin-en-keuken netwerk kan vandaag veilig zijn, maar morgen door het toevoegen van een device of een besmette USB stick, compleet onveilig.
Alles is code
Wijzen naar SolarWinds,
Kaseya of andere bedrijven waarvan de code niet klopte is terecht.
Eisen dat die ervoor zorgen dat hun code wel in orde is heeft geen uitleg nodig. Maar alleen dat soort gevallen zien als scope van code is onjuist en zelfs gevaarlijk, want “everything is code”.
