Diepgaand en effectief software testen

<div><p>Grondig testen is essentieel voor veilige software, maar in de praktijk vaak complex en arbeidsintensief. Testers richten zich daarom regelmatig op de te verwachten fouten - de ‘happy flow’ - waardoor onverwachte fouten en kwetsbaarheden onopgemerkt blijven. Geautomatiseerde testtechnieken bieden hier uitkomst. TNO ontwikkelt testmethoden die software diepgaand en efficiënt analyseren, zoals fuzzing, Software Composition Analysis (SCA) en Dynamic Application Security Testing (DAST).</p><h4 id="h0eaddca2-64e2-4c9f-89ac-a9da0f5b36c2">Fuzzing</h4><p>Met name fuzzing heeft grote potentie: software wordt hierbij blootgesteld aan onverwachte of willekeurige invoerdata, waardoor fouten en kwetsbaarheden snel aan het licht komen. De drempel voor het toepassen van fuzzing is echter vaak hoog. Configuratie van tools en interpretatie van resultaten vragen specialistische kennis.</p><p>TNO verlaagt deze drempel door innovaties die:</p><ul> <li>het inzetten en configureren van fuzzing-tools vereenvoudigen;</li> <li>testresultaten automatisch filteren en categoriseren;</li> <li>kennis over de software benutten om gerichter te testen;</li> <li>fuzzing integreren in bestaande ontwikkel- en testprocessen.</li> </ul><p>Zo wordt diepgaand testen praktisch toepasbaar voor ontwikkelteams en fabrikanten. </p><h4 id="h7b039cc7-8540-4846-bef6-777cdbe4f350">Statisch en dynamisch testen combineren</h4><p>Fuzzing is een vorm van dynamisch testen, waarbij software daadwerkelijk wordt uitgevoerd. In combinatie met statische testtechnieken, die al vroeg in de ontwikkelfase code analyseren, ontstaat een krachtig testregime. Door deze technieken slim te combineren, worden fouten eerder opgespoord en dalen tijd- en herstelkosten. </p><p>Ontdek welke <a href="https://publications.tno.nl/publication/34642661/7OyCa9Lp/TNO-2024-M10313.pdf" class="importLink">methoden en tools (pdf)</a> je kan inzetten voor het testen van software en wat hun specifieke waarde is.</p></div>

Software- en systeembeveiliging

Thema:: Cybersecurity

Cyberaanvallen worden slimmer, software complexer en wet- en regelgeving strenger. 'Secure by design' is daarmee geen nice-to-have meer, maar een randvoorwaarde voor betrouwbare software en systemen. Toch ervaren veel organisaties cybersecurity by design nog als complex, tijdrovend of kostbaar. Dat hoeft niet zo te zijn.

Secure by design praktisch toepasbaar

Cybersecurity is in rap tempo een belangrijke kwaliteitsparameter aan het worden. Maar hoe kun je beveiliging naadloos integreren in je ontwerp- en engineeringprocessen zonder je personeel veel werk te bezorgen of de marktintroductietijd negatief te beïnvloeden? En hoe zorg je dat je investering blijft renderen?

Wij maken secure by design toepasbaar, ook in in je legacy software en -systemen. Samen met partners maken we proof of concepts die we speciaal voor specifieke klantomgevingen configureren. Dit helpt product- en systeemontwikkelaars om de principes van secure by design effectiever te integreren in hun engineeringproces en nuttige technologieën toe te passen in elke ontwikkelingsfase.

Product Security in elke ontwikkelfase

Secure by design stopt niet na het ontwerp. Juist door beveiliging en testen in alle fasen van de software development lifecycle (SDLC) te combineren, neemt de kwaliteit toe. Vroegtijdige beveiligingsmaatregelen en diepgaand testen beschermen niet alleen tegen aanvallen, maar vergroten ook de stabiliteit en betrouwbaarheid van systemen. Daarmee worden zowel kwetsbaarheden als onbedoelde storingen teruggedrongen. Onze expertise omvat onder andere:

Grondig testen is essentieel voor veilige software, maar in de praktijk vaak complex en arbeidsintensief. Testers richten zich daarom regelmatig op de te verwachten fouten - de ‘happy flow’ - waardoor onverwachte fouten en kwetsbaarheden onopgemerkt blijven. Geautomatiseerde testtechnieken bieden hier uitkomst. TNO ontwikkelt testmethoden die software diepgaand en efficiënt analyseren, zoals fuzzing, Software Composition Analysis (SCA) en Dynamic Application Security Testing (DAST).

Fuzzing

Met name fuzzing heeft grote potentie: software wordt hierbij blootgesteld aan onverwachte of willekeurige invoerdata, waardoor fouten en kwetsbaarheden snel aan het licht komen. De drempel voor het toepassen van fuzzing is echter vaak hoog. Configuratie van tools en interpretatie van resultaten vragen specialistische kennis.

TNO verlaagt deze drempel door innovaties die:

het inzetten en configureren van fuzzing-tools vereenvoudigen;
testresultaten automatisch filteren en categoriseren;
kennis over de software benutten om gerichter te testen;
fuzzing integreren in bestaande ontwikkel- en testprocessen.

Zo wordt diepgaand testen praktisch toepasbaar voor ontwikkelteams en fabrikanten.

Statisch en dynamisch testen combineren

Fuzzing is een vorm van dynamisch testen, waarbij software daadwerkelijk wordt uitgevoerd. In combinatie met statische testtechnieken, die al vroeg in de ontwikkelfase code analyseren, ontstaat een krachtig testregime. Door deze technieken slim te combineren, worden fouten eerder opgespoord en dalen tijd- en herstelkosten.

Ontdek welke methoden en tools (pdf) je kan inzetten voor het testen van software en wat hun specifieke waarde is.

Beveiliging vraagt om continue aandacht, in elke fase van de SDLC. DevSecOps integreert security structureel in ontwikkel- en deliveryprocessen. TNO onderzoekt en ontwikkelt proof of concepts voor geautomatiseerde beveiligingscontroles in CI/CD-pipelines. Daarbij richten we ons op effectiviteit in de praktijk: wat werkt in productieomgevingen en hoe sluit het aan op bestaande processen?

Moderne software is opgebouwd uit componenten van derden. Transparantie in die keten is cruciaal. Een Software Bill of Materials (SBOM) geeft inzicht in afhankelijkheden en kwetsbaarheden en vormt de basis voor een veilige software supply chain. TNO ondersteunt organisaties bij het opstellen en toepassen van SBOM’s en ontwikkelt kennis en richtlijnen. Samen met het Nationaal Cyber Security Centrum (NCSC) van het Ministerie van Justitie en Veiligheid publiceert TNO een serie papers om organisaties te begeleiden bij de ontwikkeling van SBOM’s. Download de SBOM Startersgids: een betrouwbare life cycle.

Voor systemen met hoge betrouwbaarheidseisen, zoals in nationale veiligheid en kritieke infrastructuur, is extra zekerheid nodig. Met formele verificatie kan de afwezigheid van fouten en kwetsbaarheden wiskundig worden aangetoond. TNO beschikt over diepgaande expertise om deze technieken toe te passen in complexe, veiligheidskritische systemen.

Sectorspecifieke oplossingen

Secure-by-design praktijken zijn afhankelijk van de sector en de daarin toegepaste softwaresystemen en specifieke beveiligingsdefinities en -doelen. Operationele technologie (OT)-systemen, zoals die in het energiedomein, moeten optimaal worden beveiligd om veiligheidsredenen, maar ook omdat het publiek op hun kritieke technologieën moet kunnen vertrouwen. Dat betekent geen uitval en de hoogste betrouwbaarheid. Fabrikanten van kritieke industriële producten zijn in hoge mate afhankelijk van externe leveranciers en hebben ultieme beschikbaarheid nodig om concurrerend te blijven. Overheden en andere organisaties in de publieke sector moeten de garantie hebben dat hun systemen veilig zijn, en vragen om wiskundig bewijs van integriteit en vertrouwelijkheid.

TNO ontwikkelt oplossingen die aansluiten op sectorspecifieke risico’s, regelgeving en gebruiksomgevingen. Daarbij combineren we technologische diepgang met praktische toepasbaarheid.

Vandaag bouwen aan veilige software en systemen

Of het nu gaat om nieuwe software of bestaande systemen: secure by design vormt de basis voor duurzame digitale betrouwbaarheid. Wij ontwikkelen de technologieën, methoden en raamwerken om beveiliging structureel te verankeren en aantoonbaar te maken. Zo helpen we organisaties vandaag te werken aan veilige systemen voor morgen.

Neem contact met ons op

Sla navigatie over (Neem contact met ons op)

Eduard Hoekx

Functie:
Senior Business Manager Cybersecurity
Eduard Hoekx heeft een trackrecord van meer dan 25 jaar in (cyber)security, onder meer als strateeg en hoofd van het security lab bij een grote telecomoperator. Bij TNO is Eduard verantwoordelijk voor het converteren van (cyber)security-innovaties naar bruikbare en impactvolle toepassingen voor een steeds verder digitaliserende samenleving.

Meer over Eduard
- Standplaats:
  Den Haag - New Babylon
- E-mail:
  E-mail Eduard
Thomas Rooijakkers

Functie:
Cybersecurity onderzoeker
Thomas Rooijakkers, cybersecurity-onderzoeker bij TNO, zet zich in voor betere softwarekwaliteit en -veiligheid. Als Lead Scientist integreert hij cybersecurity in productontwikkeling, wat resulteert in veerkrachtige cyber-fysieke systemen. Daarnaast stuurt hij als Interim Portfolio Manager TNO’s cybersecurityportfolio strategisch aan, met als doel innovatieve, veilige oplossingen voor de industrie en een versnelde digitale transitie.

Meer over Thomas
- Standplaats:
  Den Haag - New Babylon
- E-mail:
  E-mail Thomas