Den største risiko for sikkerhedshuller i software opstår, når standardprogrammer skal tilpasse til brug i den enkelte virksomhed, advarer analysefirmaet Gartner.
Specielt forretnings-software og applikationer som produkter fra SAP og Oracle, der kræver store mængder tilpasning, er kædens svageste led, når det gælder sikkerheden af programmerne.
- Tilpasset kode gennemgår ikke den samme kvalitetstest som kommerciel kode gør det, siger analysechef Rich Mogull fra Gartner.
Samtidig er der ingen leverandør, der udsender en opdatering og en tilhørende advarsel, når der opdages et sikkerhedshul i den tilpassede kode.
Tilpasning åbner for usikkerhed
En stor del af forretningssoftwaren, der anvendes i virksomheder, kræver en vis mængde tilpasning af koden, hvilket åbner for, at der bliver implementeret usikker kode på grund af manglende omtanke eller forglemmelser.
Ifølge Rich Mogull har Oracle dog mulighed for at kunne få rettet op på rammerne for sikkerhed i implementeringen af selskabets software, da PeopleSoft før Oracles opkøb havde opbygget en fornuftig sikkerhedsmodel.
Værre ser det imidlertid ud for SAP, hvor det næsten ubegrænsede antal muligheder giver god plads til at begå fejl.
- Enhver SAP implementering er reelt specialtilpasset software, der kræver en sikker udviklingsproces, siger Rich Mogull.
SAP har dog indbygget funktioner i softwaren, der kan gennemgå koden og advare udviklerne, hvis de er ved at begå fejl, der kan kompromittere sikkerheden.