Veilige Applicatie Ontwikkeling
Veiligheidschecks op elk niveau
De veiligheidschecks in onze applicatie ontwikkeling vinden plaats op elk niveau. Deze checks zijn merendeels geautomatiseerd en worden beoordelen in vier verschillende niveau’s:
- Requirements.
- Design.
- Implementatie, incl. Deployment, Hosting, Infrastructuur.
- Testen en assurance.
Een voorbeeld op het niveau van de Requirements:
Voor elke User Story hebben we een checklist met vragen. Een aantal voorbeeld vragen zijn:
- Hoe houden we de rechten van deze user beperkt, zodat hij de relevante data kan zien, maar op geen enkele manier bij de overige data kan komen (‘least privilege principle‘)?
- Hoe zorgen we ervoor dat de applicatie ook in de beheerfase veilig te houden is (‘maintainability’)?
- Hoe zorgen we ervoor dat achteraf altijd te achterhalen is wie welke actie heeft uitgevoerd (‘audit logging’)?
Door antwoord te geven op deze vragen zorgen wij ervoor dat de veiligheid wordt gewaarborgd in elke fase. Daarnaast doen we threat assessments voor elke nieuwe applicatie die we ontwikkelen.
Volgens actuele standaarden
We houden ons aan de ‘Gold Standard’ van secure software development – authenticatie, autorisatie en audit. Daarnaast houden wij de updates van OWASP (The Open Web Application Security Project) nauwlettend in de gaten. Waar bewezen, veilige tools bestaan, gaan we niet zelf ontwikkelen. Zo biedt Microsoft een geavanceerd login-systeem dat zijn waarde en betrouwbaarheid uitgebreid heeft bewezen. Vanuit security oogpunt zien wij dat ook als een slimme standaard.
Bewuste keuze voor platformen
We ontwikkelen voornamelijk in .NET core en in Angular. Daarnaast scannen we voortdurend op (security) updates voor onze systemen en nemen onze verantwoordelijkheid als partner. Veel applicatie ontwikkelaars laten dit na, met veiligheidsrisico’s en kwetsbaarheden in de software voor de beheerder en eind gebruiker als gevolg.
We bouwen steeds vaker voor Azure, de cloud computing service van Microsoft. Dit platform bevat veel software security features en checks.
“Approved by Motiv ICT Security”
Als dochterbedrijf van Motiv maken we dagelijks gebruik van de rijke kennis en ervaring van de Motiv-security engineers. We houden de security nieuws updates bij, zijn aanwezig bij kennissessies, en lopen simpelweg langs bij onze ‘collega’s’ van Motiv. Een formelere vorm van samenwerking zijn de testen die het Motiv SOC (Security Operations Center) periodiek uitvoert op onze software. De ‘ethical hackers’ van het SOC voeren dan een pentest uit op onze software, zodat we scherp blijven op eventuele kwetsbaarheden of risico’s. Adviezen voor verbetering vanuit het SOC voeren we direct door. Zodoende durven we te zeggen dat onze software ‘Approved by Motiv’ is.
Net als Motiv is Nxtapps ISO-gecertificeerd. Onze bedrijfsprocessen en softwareontwikkeling zijn gecertificeerd op basis van ISO 9001 (kwaliteitsmanagement), ISO 27001 (informatiebeveiliging), en NEN 7510 (informatiebeveiliging binnen de zorg). Bovendien kan op verzoek een ISAE-certificering overhandigd worden.
Lees hier meer over de ISO-keurmerken van Nxtapps
Last but not least: onze mensen
Onze mensen zijn een security feature an sich. Zoals eerder vermeld hebben wij security tools en ingebouwde policies om de veiligheid van onze software te waarborgen. Maar zoals een van onze developers het verwoordt:
Als je niet weet hoe je security tools moet toepassen, is de software nog steeds niet veilig. Als ontwikkelaar moet je security continu in het achterhoofd houden, en kijken naar het development proces als geheel. Ik merk dat de collega’s bij Nxtapps die security checks bij iedere stap eigenlijk automatisch doen. Daarom heb ik er vertrouwen in dat onze software veiliger is dan die van anderen.
Deze mind-set is wat ons betreft de sleutel tot echt veilige software. Dit wordt onderstreept door onze partnership met Microsoft. Een security minded team, dat up-to-date blijft, en bereid is om hun werk te laten controleren door de beste pentesters en engineers in de branche om veilige software te ontwikkelen. Nu en in de toekomst.
