Professionalisering
Van een professioneel softwarebedrijf mag je verwachten dat security veel aandacht krijgt. Vanzelfsprekend is GX sinds Q4 van 2022 is gestart met het registeren van CVE's voor XperienCentral (XC).
Wat is een CVE?
Common Vulnerabilities and Exposures (CVE's) zijn gemeenschappelijke kwetsbaarheden in een systeem met daarbij de gevaren die ontstaan door blootstelling ervan. De kwetsbaarheden worden centraal, middels een gestandaardiseerd systeem, geadministreerd zodat elke gebruiker van dat specifieke systeem op de hoogte is van de algemeen bekende kwetsbaarheden in een versie. Het doel hiervan is om organisaties en gebruikers te informeren over de kwetsbaarheden, zodat er passende maatregelen te treffen zijn om kwaadwillenden een stap vóór te blijven.
Waar registreert GX een CVE?
De CVE's gegistreert GX bij Mitre.org: het bedrijf dat de database onderhoudt waarin informatie geborgd is over kwetsbaarheden in computersystemen en netwerken. Op het moment van schrijven bevat deze database meer dan 18.000 geregistreerde kwetsbaarheden.
Wat moet je weten als XC gebruiker?
Aankondiging
GX informeert je over de toekomstige publicatie van een CVE. Een dergelijke notificatie bevat:
- een omschrijving van de kwetsbaarheid;
- een schatting van de impact, zodat je zelf de ernst kunt bepalen;
- een toelichting over hoe de kwetsbaarheid te misbruiken valt;
- een patch, zodat er ook meteen een oplossing voorhanden is.
Tijdspanne en vereiste handelingen
Vanaf het moment van informeren is er een (1) maand de gelegenheid om de meegeleverde patch te installeren. Dat kan door bijvoorbeeld:
- de patch op te nemen op de backlog van het eigen ontwikkelteam;
- de patch met het GX scrum-team op de backlog te plaatsen;
- in samenwerking met Customer Services.
GX verstuurt geen extra herinnering voor het plaatsen van de patch.
Publicatiemoment
Een (1) maand na het informeren maakt GX de CVE bekend op deze portal. Bij die publicatie licht GX openbaar toe:
- Voor welke XC Releases geldt de kwetsbaarheid;
- Wat zijn de (globale, niet exacte) "Attack Vectors" (een pad/manier/middel waarmee een aanvaller of hacker toegang kan krijgen);
- De link naar de CVE op Mitre.org.
Om een indruk te krijgen van hoe zo'n CVE er op Mitre.org uit ziet, kun je het voorbeeld van Spring4Shell bekijken: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-42889.
Contractuele dekking
Uit veiligheidsoverwegingen moedigt GX het gebruik van actuele software aan. Naast dat we aanbevelen om een XC versie te gebruiken die niet ouder is dan een (1) jaar, leggen we deze afspraak zelfs contractueel vast: op het moment dat je een XC versie gebruikt die ouder is dan een (1) jaar, vervallen er afspraken uit het Support contract. Eén van de gevolgen bij een CVE in een verouderde Release, is dat benodigde ondersteuningstijd buiten het contract valt. Gebruik je een XC Release die niet ouder is dan een (1) jaar, dan valt ondersteuning uiteraard binnen het contract.
Vragen
Heb je vragen over deze procedure, richt je dan tot Customer Services. Met veel plezier verdiepen zij zich in jouw specifieke situatie.
Opmerkingen
0 opmerkingen
U moet u aanmelden om een opmerking te plaatsen.