Waarom is het verbeteren van de security en code kwaliteit zo belangrijk voor overheidsorganisaties?

Het belang van ISO 5055 als uitbreiding op ISO 25010 voor het geautomatiseerd meten van software code voor overheidsorganisaties.

De digitale weerbaarheid van de overheid moet sterker. Maar hoe krijgt u dat voor elkaar? Veel overheidsorganisaties geven op dit moment aandacht aan het beter inrichten van Lifecycle Management (LCM). Inzicht in de technische staat van applicaties is een goed startpunt om de kwaliteit en de security te verbeteren en plannen te maken voor de toekomst. Het inventariseren van de omvang en de technische staat van de applicaties in het portfolio is een belangrijke stap, want deze factoren bepalen voor een groot deel de onderhoudskosten. Om goede toekomstplannen te kunnen maken is deze informatie van groot belang.  

Hoe maakt de overheid de technische staat van een applicatie inzichtelijk?

Binnen de overheid wordt er vaak gesproken over de International Standardization Organization (ISO) 25010 standaard als het gaat om het inzichtelijk maken van de technische staat van een applicatie. Deze ISO standaard heeft in 2011 de oude standaard 9126 vervangen en kijkt naar 2 aspecten: de productkwaliteit en de geschiktheid voor gebruik. Onder ISO 25010 worden kenmerken als functionele geschiktheid, prestatie-efficiëntie, uitwisselbaarheid, bruikbaarheid, betrouwbaarheid beveiligbaarheid, onderhoudbaarheid en overdraagbaarheid beschreven. Er zijn verschillende technologieën beschikbaar op de markt die deze kenmerken geautomatiseerd kunnen meten en die kunnen beoordelen in welke mate een applicatie voldoet aan deze kenmerken. Deze technologieën meten de applicatie source code geautomatiseerd door en produceren dan een of meerdere dashboards waarop scores op de ISO 25010 kenmerken getoond worden. Dat klinkt prima, maar het is geen garantie voor succes.  

Hoe zit het met de ontwikkeling en het onderhoud van moderne applicaties?

Een nadeel van veel technologieën is dat de analyse op code niveau wordt uitgevoerd. Bestand na bestand wordt gekeken naar zaken als complexiteit en security. Moderne applicaties bestaan echter uit vele verschillende componenten, lagen, files, frameworks, etc. Als we naar applicaties kijken vanuit een architectuur oogpunt, dan ziet dat eruit als het voorbeeld in de volgende figuur.  

Architectuur overzicht app

Figuur 1: voorbeeld architectuur overzicht van een applicatie

Zoals u waarschijnlijk al doorhad, is de complexiteit groot, mede door de vele aanroepen tussen de verschillende onderdelen. Uit onderzoek blijkt dat veel (tot wel 60%) van de productieincidenten van applicaties worden veroorzaakt door foutieve aanroepen tussen componenten. Deze incidenten zijn moeilijk te reproduceren en op te lossen en leveren mede daarom de meeste downtime op. Het is daarom belangrijk om de kwaliteit van applicaties te meten op codeniveau en op systeemniveau. Een voorbeeld van goede code, maar een matig systeem, staat in de volgende figuur.

goede code slecht systeem

Figuur 2: voorbeeld van goede code, maar een slecht systeem

De man in de figuur wil de pinautomaat gebruiken. Hoewel op codeniveau alles in orde lijkt, is het toch niet mogelijk de pinautomaat te gebruiken, omdat er bijvoorbeeld een incident is opgetreden in een van de slechte aanroepen in het systeem.

Om dit probleem te tackelen is er in 2021 een uitbreiding gekomen op de ISO 25010 standaard. Dit is de ISO/IEC 5055 standaard voor het geautomatiseerd meten van software code kwaliteit. Deze standaard schrijft voor dat er heel specifiek moet worden gekeken naar overtredingen van goede codeerstandaarden en architectuur standaarden. Er zijn duizenden regels vastgelegd in vele verschillende standaarden en best practices, zoals bijvoorbeeld van OWASP, CWE, NIST, CISQ en OMG. Deze regels zijn dingen die je moet doen, of juist niet moet doen bij het ontwikkelen en onderhouden van de applicatie. Een voorbeeld van een van de duizenden regels: „Avoid SQL injection through API requests“. Dit is een van de belangrijke regels op security gebied en een overtreding van deze en vergelijkbare regels levert een groot risico op voor de applicatie, en mogelijk voor de hele organisatie. Uiteindelijk zijn er altijd mensen betrokken bij applicatie ontwikkeling en onderhoud en dus kunnen er altijd issues zijn, ook als de mensen heel goed zijn.

Human error

Figuur 3: software development is mensenwerk, en niemand kent alle duizenden regels uit z’n hoofd, ook Dave niet! (Bron: https://www.jklossner.com/)

Wat is het voordeel van het geautomatiseerd meten van software code kwaliteit?

Het voordeel van de ISO 5055 manier van het onderzoeken van software kwaliteit is dat het ook mogelijk wordt om heel specifiek in de code aan te tonen waar een regel is overtreden, waarom dat een mogelijk kritiek issue is en hoe dit eventueel opgelost kan worden. Dit zorgt ervoor dat het maken van aanpassingen een stuk gemakkelijker wordt. De ISO 5055 standaard maakt het dus mogelijk om de software kwaliteit vast te stellen op codeniveau en op systeemniveau. Door vervolgens de gevonden issues gericht te verbeteren, worden de risico’s in de applicatie snel verminderd en wordt de technische kwaliteit snel verbeterd. Dit kan er in het kader van Lifecycle management weer toe leiden dat toekomstplannen worden aangepast omdat de technische staat van de applicaties wordt verbeterd en de onderhoudskosten omlaag gaan.

Hoe doen we dit bij IDC Metri?

Bij IDC Metri voeren we regelmatig codekwaliteit onderzoeken uit waarbij we CAST technologie inzetten die de code op zowel ISO 25010 als ISO 5055 meten. Het ontwikkelteam krijgt heel specifiek inzicht in de gevonden issues en we geven onze klanten een concreet verbeterplan waarbij het doel is met zo weinig mogelijk inspanning zoveel mogelijk kwaliteitswinst te halen.

Het management kan vervolgens de voortgang monitoren op het management dashboard, waar de trends staan in de scores per applicatie, zodat er een duidelijk beeld is wat de technische staat is van de applicaties en de trends hierin, o.a. als basis om keuzes te kunnen maken in het kader van Lifecycle management. Dit ziet u terug in onderstaande figuur. Het voordeel van de CAST technologie is dat we ook geautomatiseerd de omvang meten in Automatische functiepunten (AFP). Dit stelt ons in staat om ook financiële benchmarks en adviezen te geven op basis van de meer dan 15000 data punten van applicaties en projecten in onze database.

source code
rule documentation

Figuur 4: voorbeeld van het developer dashboard: waar zit de fout, waarom is het een fout en hoe kan deze worden opgelost

 

Meer weten? Kom dan naar onze webinar voor overheidsinstellingen

 

Op donderdag 26 januari om 16.00 uur organiseren we een webinar waar we ingaan op hoe we dit doen en waarbij we Frans Struijk, directeur IV Facilitair Bedrijf bij het UWV, hebben gevraagd om te laten zien hoe wij het UWV geholpen hebben in een specifieke case, waarbij ook een bekende system integrator betrokken was. Inschrijven kan hieronder.

Aanmelden voor Webinar Security binnen overheden 26 januari

Webinar: Hoe vermijd je security issues in applicaties? (voor de overheid)

Datum: 26 januari 2023

Tijd: 16.00-16.45

Locatie: online via Zoom

Hoe heeft IDC Metri samen met partner CAST zicht kunnen bieden aan management op de risico’ t.a.v. de standaarden ISO 25010, ISO 5055 en andere? We laten het u zien aan de hand van een case bij de centrale overheid.

Sommige leveranciers hebben in de afgelopen jaren een dusdanig grote footprint in de Nederlandse overheid opgebouwd, dat ze inmiddels een begrip geworden zijn. Zo ook op het gebied van software risico en kwaliteit assessments. Toch is het goed om af en toe opnieuw te inventariseren wat de verschillende oplossingen op de markt zijn en de waarde die zij leveren. IDC Metri, tesamen met haar partner CAST – wereldwijd marktleider op dit gebied – bieden een state of the art dienst aan op dit gebied waarbij management zicht krijgt op de risico’ t.a.v. de standaarden ISO 25010, ISO 5055 en andere. Daarbij helpen we de teams met een dashboard waarop de gevonden kritieke fouten staan, de reden dat deze kritiek zijn, en hoe deze opgelost kunnen worden. Hands-on verbetering en directe kwaliteitsverbetering en risico verlaging voor de applicatie. Tijdens dit webinar willen we u graag laten zien op welke wijze we dit doen, en ook een succes case vanuit de centrale overheid presenteren.

Nu IDC Metri samen met PWC en Accenture de SIMA-mantel gegund heeft gekregen, opent dat de mogelijkheid om ons mee te nemen in uw selectietrajecten.

Aanmelden voor Webinar Security binnen overheden 26 januari

How to Measure Business Value for Agile Teams

Webinar | On-Demand

IT-teams die Agile hebben ingevoerd, profiteren van snellere leveringscycli en flexibelere systemen. Ondanks de verbeterde mogelijkheden die Agile bedrijven brengt, heeft IDC Metri, de leider in het helpen van organisaties om de volledige waarde van hun IT-functies te realiseren, ontdekt dat de meeste bedrijven een aanzienlijke sprong in de prestaties zouden zien als ze kwantitatieve beoordelingstechnieken zouden toepassen om Agile-inspanningen te beheren.

Bekijk de webinar om meer te leren over deze processen en hoe eenvoudig het is om ze te implementeren terwijl u strategische begeleiding krijgt rond:

  • Hoe voorspelbaarheid, controle en zichtbaarheid te krijgen in high-profile Agile projecten
  • Hoe het monitoren en beoordelen van Agile teams budgetten kan beheersen, leveringssnelheid en kwaliteit kan verhogen en een minimum viable product kan garanderen
  • Hoe het inbouwen van kwantitatieve prestatiemaatstaven in leverancierscontracten leidt tot betere kosten, kwaliteit en prestaties van externe ontwikkelpartners
  • Wanneer het schalen en leveren van Agile praktijken van vitaal belang is voor zakelijk succes, wilt u de inzichten van IDC Metri niet missen over hoe u uw bottom line beter kunt beïnvloeden door de volledige waarde van Agile ontwikkeling te realiseren.

Webinar: Begroten en beheersen van software-ontwikkeling

Interconnectie in de digitale economie

Krijg meer inzicht en grip op grote IT programma’s met de Cost Estimation Suite. Het vernieuwen van IT landschappen is op zichzelf vaak al uitdagend genoeg. Grote programma’s met complexe afhankelijkheden hebben een grote impact op de organisatie en alle betrokkenen. Door het objectief en berekenen van de realistische kosten en hieraan gekoppelde planning kunnen adequate acties uitgezet worden.

Meer weten?

Spreek direct een specialist, neem contact op met IDC Metri voor een snel en duidelijk antwoord:

Webinar: Hoe zit het met de technische gezondheid van de bedrijfsapplicaties?

Veel organisaties hebben moeite een compleet en accuraat overzicht van het applicatie portfolio tijdens (digitale) transformatie te krijgen, laat staan heldere, onderbouwde keuzes te maken. Het verkrijgen van het benodigde overzicht kan maanden duren wat de transformatie vertraagt en kostenverhogend werkt. Door in enkele weken een gedetailleerd overzicht van het portfolio op te leveren is het mogelijk de transformatie voortvarend en succesvol uit te voeren op basis van feiten.

Meer weten?

Spreek direct een specialist, neem contact op met IDC Metri voor een snel en duidelijk antwoord:

Webinar: IT-Contracten: Wapen je voor een complexe werkelijkheid!

Contracting

Veel organisaties zijn door onze digitale wereld afhankelijk van de goede werking van informatietechnologie. Hiervoor is het van belang om je IT-zaken op orde te hebben. Voor het kopen van bepaalde diensten wordt een IT-contract opgesteld.

IT-contracten zijn, zoals de naam al zegt, niets minder dan ‘gewone’ contracten, zoals algemene inkoopvoorwaarden, privacyverklaringen, arbeidscontracten, softwareovereenkomsten, SaaS-overeenkomsten, Cloud overeenkomsten, continuïteitsregelingen (escrow). In een dergelijk contract worden afspraken gemaakt over bijvoorbeeld de prijs, garantie of aansprakelijkheid van een goed of dienst.

Er kunnen problemen ontstaan bij het opstellen of naleven van een IT-contract. Zo bestaat er vaak onduidelijkheid over wat er geleverd moet worden of onder welke voorwaarden er geleverd dient te worden. Het is van belang dat er duidelijke afspraken worden gemaakt en dat deze schriftelijk worden vastgelegd in een contract.

In dit webinar vertelt Aukje van Eck over het opstellen van IT-contracten, de trends, valkuilen, aandachtspunten en waarom het belangrijk is om afspraken vast te leggen in een IT-contract.

Meer weten?

Spreek direct een specialist, neem contact op met IDC Metri voor een snel en duidelijk antwoord:

Webinar: Hoe selecteer je de juiste leverancier?

Metri Team performance

Een goede samenwerking met de juiste IT-leveranciers wordt door de snelheid, waarmee de business van een organisatie verandert, steeds crucialer en doorslaggevender. Om deze samenwerking te bewerkstelligen is het noodzakelijk de best passende IT-leverancier te selecteren. De IT-leverancier hoort hierbij niet alleen aan te sluiten bij het betreffende IT-kavel, maar ook bij de organisatie en haar bedrijfsdoelstellingen.

Een goed passende IT-leverancier zorgt dus niet alleen voor de meest optimale, efficiënte en transparante dienstverlening en samenwerking, maar voegt de juiste waarde toe aan het bedrijf en haar doelstellingen. Het selecteren van een leverancier kan om verschillende redenen plaatsvinden; door afloop van een contract, ontevredenheid, nieuwe ontwikkelingen of een gewijzigde strategie. Om een nieuwe leverancier te selecteren dient ruim aandacht te zijn voor het proces, de inhoud-, financieel als ook op inkoop vlak.

Door langjarige en uitgebreide kennis van de leveranciersmarkt en haar ecosystemen, kan Metri snel en efficiënt helpen selecteren en contracteren van de juiste IT-leverancier(s). Hierbij ligt de focus op het verbinden van de uitbestedende organisatie en de IT-leverancier. Deze verbinding wordt gelegd middels exclusieve onderhandeling of een compact dialoogtraject met een beperkt aantal leveranciers d.m.v. een long-/shortlist. Om tot de best passende IT-leverancier(s) te komen, heeft Metri een concrete aanpak opgesteld.

In onderstaande webinar wordt uitgelegd hoe Metri in zo’n dergelijk leverancierstraject te werk gaat.

Meer weten?

Spreek direct een specialist, neem contact op met IDC Metri voor een snel en duidelijk antwoord:

Webinar: Bouw snel uw roadmap voor digitale transformatie, gebaseerd op feiten!

Veel organisaties willen een digitale transformatie opstarten, maar weten niet goed waar te beginnen. Er is geen duidelijk overzicht op het applicatie portfolio en het is erg moelijk te bepalen wat te doen met welke applicatie. Het opbouwen van dit overzicht kost veel tijd en moeite, en is vaak gebaseerd op subjectieve meningen en niet op feiten. In dit webinar laat Metri zien hoe haar Application Portfolio Strategizer dienst in zeer korte tijd een op feiten onderbouwd inzicht krijgt in de kwaliteit, business impact, cloud readiness en de aan te bevelen transformatie strategie per applicatie. Dit levert veel tijdwinst op en zorgt ervoor dat organisaties veel sneller de vruchten van de digitale transformatie kunnen plukken en daarmee succesvoller kunnen zijn.

Meer weten?

Spreek direct een specialist, neem contact op met IDC Metri voor een snel en duidelijk antwoord:

Webinar: Help! Mijn cloudkosten lopen uit de hand!

Cloud Consumptie

Het rijke landschap van de applicaties is sterk veranderd en nu zien we door de bomen het bos niet meer. Hoe kan het nu dat de facturen van de public cloud providers zo hoog uitvallen? Met cloud zou alles toch goedkoper worden? Metri vertelt u tijdens een onderstaande webinar replay graag hoe je wél inzicht krijgt in deze kosten en waar je het beste op kunt besparen.

Dat veel bedrijven geen notie hebben van de applicatie-uitgaven is niet eens zo vreemd. Er heeft nogal een aardverschuiving plaatsgevonden; de data-centers zijn leeg, slechts een paar applicaties draaien nog ergens in een rack. Het overgrote deel heeft zijn plek gevonden in de public cloud, bij Azure of AWS. Alles goed en wel, maar dan komt de rekening. En die valt zomaar enkele tienduizenden of zelfs tonnen euro’s hoger uit dan vooraf was ingeschat. Wat nu gedaan?

Ook bedrijven die al hun rekeningen uitpluizen, komen vaak niet tot de juiste inzichten. Het controleren van de facturen is al een heidens karwei aangezien het iedere maand weer om honderdduizenden tot miljoenen regels gaat. Zoals gezegd, u ziet door de bomen het bos niet meer. En intussen zucht het bedrijf onder de veel te hoge kosten.

Metri heeft een aanpak ontwikkeld die zijn waarde in de praktijk heeft bewezen. Met deze methode worden kosten weer inzichtelijk gemaakt en kun je eenvoudig zien waar de kansen op besparingen liggen. Het gaat dan niet alleen om de (te hoge) kosten op de cloud providers zelf, maar ook licenties en architectuurkeuzes worden in het heldere verhaal meegenomen. En al die besparingen kun je alleen realiseren als je echte veranderingen bereikt met leveranciers én gebruikers. In deze kennis-sessie krijg je haarfijn uitgelegd hoe je deze cloud economics inricht en bestuurt.

In onderstaande webinar replay vertelt Paul Groen je graag hoe je controle krijgt over de zo complexe cloud consumptiekosten.