Over een paar weken is het eindelijk zover: op 12 september vindt in de DeFabrique in Utrecht de Tweakers Developers Summit 2023 plaats. We hebben al veel sprekers en workshops uitgelicht, en het complete programma met alle tracks kun je hier teruglezen. Vandaag zetten we een van ‘onze eigen’ developers in het zonnetje: Enterprise SecDevOps Lead Gert Leenders van DPG Media. Hij verzorgt in de Devops-track de masterclass ‘Security Shifts Left: nieuwe uitdagingen voor developers’. Gert gaat daarbij in op de toenemende impact van security en de rol die ontwikkelaars hierbij spelen. Als je nu denkt ‘dat klinkt reuze interessant’ en je hebt nog geen kaartje voor de Dev Summit 2023, dan lees je onderaan dit artikel hoe je er een kunt bestellen en welke kortingen er gelden.
Het is geen nieuws dat security een steeds belangrijkere rol inneemt bij de ontwikkeling van software. “De meeste ontwikkelaars willen gewoon applicatiecode schrijven en een meerwaarde voor de organisatie betekenen. Ze willen doorgaans zo min mogelijk bezig zijn met security”, stelt Gert. Toch is requirements analysis een zeer belangrijk proces waarmee uiteindelijk het succes van een systeem- of softwareproject wordt beoordeeld. De vereisten worden daarbij over het algemeen opgesplitst in twee typen: functionele en niet-functionele vereisten, oftewel functionals en non-functionals.
Functionals en non-functionals
Functionele vereisten zijn de vereisten die de eindgebruiker specifiek vraagt als de basisfaciliteiten dieSecurity heeft bij ons topprioiteit, maar het gaat hand in hand met wat wij noemen 'developers satisfaction'
een systeem moet bieden. Deze functionaliteiten moeten noodzakelijkerwijs in het systeem worden opgenomen. Ze worden weergegeven of vermeld in de vorm van de invoer die aan het systeem moet worden gegeven, de uitgevoerde operatie en de verwachte uitvoer. Ze zijn in wezen de door de gebruiker gestelde vereisten die men direct in het eindproduct kan zien. Anders gezegd: functionals zijn de onderdelen waar een gebruiker direct mee interacteert; dit in tegenstelling tot de non-functionals.
Non-functionals zijn in wezen de kwaliteitsbeperkingen waaraan het systeem moet voldoen volgens het vastgesteld projectcontract. De prioriteit of mate waarin deze factoren worden geïmplementeerd varieert van project tot project. Ze worden ook wel niet-gedragsmatige vereisten genoemd. Non-functionals gaan in principe over zaken als security, onderhoud, betrouwbaarheid, schaalbaarheid, prestatie, herbruikbaarheid en flexibiliteit. Gert: “Security heeft bij ons topprioriteit, maar het gaat hand in hand met wat wij noemen ‘developers satisfaction’. Als een developer iedere dag een lijst met 100 of 200 security issues voor zijn kiezen krijgt, wordt hij daar niet blij van. Tegelijkertijd hebben we een aantal mantra’s die heilig zijn. Denk aan ‘We don’t ship shit’ en ‘You build it, you run it’. Aan ons de taak om die spanning te reduceren, zonder de verantwoordelijkheid volledig weg te nemen bij de ontwikkelaar.”
Gamification
Tijdens zijn masterclass legt Gert uit hoe bij DPG Media een systeem is ontwikkeld om met behulp van gamificatie een eenduidige definitie vast te stellen die aangeeft wanneer software secure is. Om dit te objectiveren, wordt gebruikgemaakt van een scorecard. Daarbij kunnen heel duidelijke achievements worden behaald om een zo goed mogelijke scorecard te krijgen. Gert: “Haal je gemiddeld een vier of hoger, dan laten we je met rust. Scoor je systematisch lager, dan heeft het gevolgen. In dat geval gaan we samen met je kijken wat er aan de hand is en hoe we kunnen helpen.”
Een andere manier om developers meer rust te geven, is het minimaliseren van incident event fatigue / monitoring fatigue. “Dagelijks is er wel een incident dat moet worden opgepakt. Dat is nu eenmaal zo, het is part of the business. We hebben echter een slim systeem dat alle informatie bekijkt, zelf de prioriteit bepaalt en op basis daarvan inschat of direct op een incident moet worden gehandeld. Zo verdrinken we niet in een tsunami van security findings”, aldus Gert.
Security en media: een dagelijkse uitdaging
Gert zou graag zien dat ontwikkelaars en bezoekers zich door de Developers Summit iets bewuster worden van de impact van security, met name bij een mediabedrijf. “Als een e-shop er een uur uit ligt, kunnen bestellingen niet verwerkt worden. Dat is natuurlijk slecht voor de business. Maar als we met onze media eruit liggen, of we kunnen niet met onze kranten naar de drukker … dan kan dat verregaande consequenties hebben. Daarbij hebben mensen niet door hoe ‘populair’ we zijn bij kwaadwillende actoren. We hebben dagelijks te maken met aanvallen. Mensen zien het blijkbaar als een sport om te proberen DPG Media lam te leggen, hoe vaak ze daar ook in falen”, glimlacht Gert.
Kortingen en laatste kaarten voor de Tweakers Dev Summit 2023
Mochten we de laatste twijfels bij je hebben weggenomen, dan kun je een van de laatste reguliere tickets (299 euro) scoren. We hebben nog steeds mooie kortingen: studenten kopen een kaartje voor slechts 75 euro, en andere bezoekers kunnen profiteren van onze '3 halen 2 betalen'-aanbieding (betaal slechts 598 euro voor drie kaarten). Als je werkgever de tickets betaalt, ontvang je een factuur voor de administratie. Maak je geen zorgen, we delen geen persoonlijke gegevens met partners.
Wil je meer informatie over de Developers Summit 2023? Klik dan op onderstaande button.
Dit artikel is geen redactioneel artikel, maar gesponsord en tot stand gekomen dankzij DPG Media en Tweakers Partners. Tweakers Partners is de afdeling binnen Tweakers die verantwoordelijk is voor commerciële samenwerkingen, winacties en Tweakers events zoals meet-ups, Developers Summit, Testfest en meer. Bekijk hier het overzicht van alle acties en events. Mocht je ideeën met ons willen delen over deze vorm van adverteren, dan horen wij dat graag. Hierover kun je met ons in gesprek via [Discussie] Reclame algemeen].