Afspraken controleren kwetsbaarheden opgeleverde software. #984
Conversation
There was a problem hiding this comment.
Het ingewikkelde hier is volgens mij dat je niet vanaf een bepaalde datum de verantwoordelijkheid kunt verschuiven. Op het moment dat de software is opgeleverd, is deze eigenlijk alweer verouderd ten opzichte van wat je aan het ontwikkelen bent. Dan kan het dus toch zo zijn dat er in theorie in de opgeleverde software een kwetsbaarheid zit die niet meer in de ontwikkelomgeving aanwezig is? Of zie ik dat verkeerd?
Dat klopt. En daarom moet je afspreken wie in de gaten houdt of er nieuwe kwetsbaarheden bekend raken over de versie(s) van de software (inclusief de dependencies) die is opgeleverd. Je kan dat aan de hand van een datum doen, maar je zou ook kunnen afspreken (bedenk ik me nu) dat vanaf het moment van oplevering de ontvangende partij verantwoordelijk is. Of vanaf het moment van acceptie. Ik voeg die opties toe. |
fniessink
force-pushed
the
963-afspraken-maken-over-monitoring-nieuwe-kwetsbaarheden
branch
from
e713ee1 to
2e74eb7
Compare
In de paragraaf "Oplevering software" van het Template PvA Realisatiefase afspraken toegevoegd over het controleren van opgeleverde software op beveiligingskwetsbaarheden. Closes #963.
fniessink
force-pushed
the
963-afspraken-maken-over-monitoring-nieuwe-kwetsbaarheden
branch
from
2e74eb7 to
3762c85
Compare
fniessink
deleted the
963-afspraken-maken-over-monitoring-nieuwe-kwetsbaarheden
branch
In de paragraaf "Oplevering software" van het Template PvA Realisatiefase afspraken toegevoegd over het controleren van opgeleverde software op beveiligingskwetsbaarheden.
Closes #963.