Heel vervelend: vlak voordat je live gaat wordt er nog een pentest uitgevoerd en op het allerlaatste moment mag jij nog wat security problemen oplossen. Herkenbaar? Het zou veel beter zijn als je tijdens het ontwikkelen al direct veilige software schrijft. Je zit dan nog helemaal in de flow en hoeft er later niet meer naar te kijken.
Bij de Belastingdienst hebben we goede ervaringen met het trainen van Java ontwikkelaars om zelf pentesten te kunnen doen. Ze gebruiken deze kennis om direct veilige applicaties te ontwikkelen en voeren ook pentesten voor andere teams uit.
Het doel van deze sessie is om praktisch te laten zien hoe je als developer zelf direct veilige webapplicaties maakt. We werken met open source security tooling (bijvoorbeeld Zap) en laten een gestructuurde aanpak zien. Het ASVS project van OWASP staat daarbij centraal.
Bio van Luuk Buit
Luuk werkt ruim 10 jaar als software engineer (Java) en IT security specialist bij de Belastingdienst, met veel plezier.