De Secure Software Development Lifecycle

podcast

In de aflevering van deze week vertelt collega Jayant Tewarie over de Security Software Development Lifecycle (SSDLC). Bekijk de aflevering op YouTube, beluister op Spotify, of lees het onderstaande artikel.

Jay Tewarie is een 40-jarige Senior .Net Developer die al tijdens zijn studie Medische Technische Informatie aan het werk ging, en inmiddels 20 jaar ervaring heeft. In zijn werk heeft ook hij natuurlijk te maken met SSDLC. Jay: ‘Het wordt eigenlijk alleen maar belangrijker omdat overheden en zelfs de EU steeds meer eisen stellen qua beveiliging van persoons- en bedrijfsgegevens. Inmiddels zijn er de bekende ISO certificeringen zodat je kunt aantonen dat het bij jouw bedrijf op orde is.’

SSDLC is een framework met daarin activiteiten die een bedrijf in staat stelt om middels een proces op een onderbouwde manier de veiligheid zo goed mogelijk te garanderen. Coderen, deployment, beheer en training, wat je ook doet, je kunt gebruik maken van de tools van SSDLC. Jay: ‘Ik zal een paar voorbeelden geven. Bij coderen kun je altijd standaarden aanhouden die te maken hebben met security. Maak je een pagina of een module, dan denk je goed na aan wie je wel of niet rechten toekent. Ga je een bepaalde versie gebruiken, zorg dan dat je een tool gebruikt die zichzelf al bewezen heeft qua security leaks. Het mag duidelijk zijn dat je al voor je gaat bouwen, dus bij het opzetten van de architectuur, een security advisor erbij haalt die je meteen kan vertellen of er kwetsbaarheden zijn en met welke security requirements je rekening moet houden.’

Is je werk eenmaal klaar, dan komt SSDLC nog eens om de hoek kijken omdat je een verificatie moet doen over hoe het in een bepaalde omgeving, of op een platform, werkt. Jay: ‘Ook onderwijs en opleiding zijn aspecten van SSDLC. Mensen moeten altijd goed op de hoogte worden gehouden van nieuwe tool en – technieken maar ook van recente hackersactiviteiten. SSDLC zie ik als een mindset, je moet van vanaf het begin tot het einde zo goed mogelijk nadenken over security zodat je alle risico’s minimaliseert. Zelf heb ik voordat ik soms een opdracht begon, ook wel cursussen gehad bijvoorbeeld over beveiliging persoonsgegevens. Je leert je dan tijdens je werk af te vragen: Wat kan je, en wat moet je de gebruikers vragen?’

Wie zelf aan de slag wil om met security en een stuk software te hacken, kan in oktober 2022 losgaan op een Hack night van Eonics waar Jay samen de bezoekers gaat uitzoeken hoe ver de sloop kan gaan. Hou onze website in de gaten voor meer informatie.



cover

Open Hack Night #40: Domain Drive Design & Behaviour Driven Development in Java
DALL·E 2024-03-28 09.35.02 – A minimalist and abstract representation of a game development hack night in a landscape orientation. Envision a broad, simplified space with abstract

Eonics Gamejam: Een Avond Vol Creativiteit en Pizza
Read more in Inbox