De laatste TechNight voor de zomerstop alweer, afgelopen woensdag 27 juni. Ook om een andere reden was deze TechNight een mijlpaal. Het is de laatste in ons kantoor aan de Puntegaalstraat. Waarom dat een goede zaak is, werd die avond duidelijk. Terwijl de zaal volstroomde, bereikte de temperatuur tropische waarden. Dit ondanks 2 hardwerkende airco's. Het nieuwe pand is groter en minder heet in de zomer.

Het thema van deze TechNight was "Security voor Developers". Na de gebruikelijke Chinese maaltijd, waarbij de collega's en de van 'buiten' toegestroomde gasten met elkaar kennis maakten en de laatste nieuwtjes uitwisselden, nam Maarten het woord en introduceerde Jurgen Kloosterman. Jurgen heeft een master behaald aan de Universiteit van Amsterdam op het gebied van computer forensics en counter terrorism. Daarna heeft hij zich bij een aantal bedrijven, o.a. ABN-Amro, beziggehouden met cyber security.

Hij ging met ons, developers, in gesprek over security bij het maken van software. Ik zeg 'in gesprek', omdat hij vanaf het begin de toehoorders erbij betrok. Security bij software development betekent aandacht voor veiligheid in de hele Software Development LifeCycle (SDLC).

Gevraagd naar wat men verstond onder 'security', kwamen er verschillende reacties uit het publiek. Verschillende toehoorders kwamen met verschillende frameworks die ze gebruikten. Anderen benadrukten hoe ook zaken als netwerk en infrastructuur belangrijk zijn. Alleen poorten openzetten die nodig zijn voor de (web) applicatie, werd meerdere malen genoemd. Uiteraard alles op tijd patchen en updaten is ook een belangrijke best practise.

Hoe belangrijk is security in jouw organisatie? Deze vraag leverde uiteenlopende antwoorden op. De antwoorden hingen af van o.a. de sector waarin de ontwikkelaar werkzaam is. De grootte van het bedrijf. Ook speelt mee of het om internet danwel intranet toepassingen gaat. Ook al waren de meningen verdeeld of binnen een goed beveiligd intranet applicatie security net zo belangrijk is als op het 'open' internet.

Er zijn verschillende technieken in secure software development. Jurgen noemde o.a. devops, devsecops, threat modeling.

Verder zijn er in het IT landschap verschillende smaken security. De volgende werden genoemd:

Software / application security Infrastructure / network security “Cloud” security Operational security Red/blue teaming Social engineering

Sommige termen waren bij enkele toehoorders bekend. Maar lang niet voor iedereen waren technieken als 'red/blue' teaming bekend. Dit laatste houdt in dat je in 2 teams software ontwikkelt. 1 team doet de ontwikkeling, het andere team probeert de ontwikkelde software te hacken.

Beveiligings onderzoeken zijn er in verschillende soorten. "Black", "Grey" en "White" "-hat", zijn termen die aangeven hoeveel informatie de hacker / beveiligingsexpert heeft van het te onderzoeken systeem. Ook de meer gebruikelijke zaken als software review (four eyes principle), kwamen langs. Deze methodologie werd door vele aanwezigen gebruikt. Net zoals automatische tests, statische code analyse, steeds meer gebruikt worden.

DevOps, betekent dat de aandacht voor security niet alleen ligt bij het ontwikkelen van software, maar ook bij het deployen en beheren ervan. Hoe zit het met de netwerk security, remote toegang en gegevens opslag? Ook de 'cloud' kreeg aandacht. De cloud providers zorgen voor een goede basis, maar ook hier dienen ontwikkelaars en beheerders van software te letten op hierboven genoemde zaken.

Tot slot noemde Jurgen nog een aantal organisaties, sites, die ons kunnen helpen bij het maken en beheren van veilige software. O.a. OWASP (Open Web Application Security Project). Deze organisatie biedt naast een top 10 van software kwetsbaarheden, best practises per programmeertaal veel tools voor automatische dependency tests.

Hiermee kwam een eind aan de laatste TechNight voor de zomerstop. Maar niet voordat de aanwezigen nog even nagepraat hebben onder het genot van een glas al dan niet alcoholische (verkeersveiligheid) drank.