Hoe zorg je als webontwikkelaar dat je veilige codes schrijft?
Webontwikkelaars geven aan dat secure coding of het verbeteren van codes een topprioriteit is. Door strakke deadlines en de eis van opdrachtgevers om in korte tijd snel software en uitvoerbare codes aan te leveren, is voor de beveiliging (secure coding) vaak onvoldoende tijd en aandacht. Dit maakt een applicatie bijvoorbeeld kwetsbaar voor hackeraanvallen. Daarnaast is secure coding ook nog niet altijd onderdeel van de opleiding of zien webontwikkelaars het belang ervan nog niet voldoende.
In een stageproject van Suly-ann Stokkel is daarom onderzoek gedaan naar de reden waarom dit probleem zich voordoet en wat er nodig is om de beveiligingskennis van webontwikkelaars te vergroten. Het resultaat is een prototype met een overzicht van bestaande kennis en trainingen op het gebied van secure coding. Het onderzoek is uitgevoerd binnen het Centre of Expertise Cyber Security en het lectoraat Network and System Engineering, onder begeleiding van docent-onderzoeker Daniel Meinsma. Centraal stond de vraag: welk trainingsmateriaal is (vrij) beschikbaar of kan worden gedeeld om de kennis en vaardigheid op het gebied van veilig programmeren bij webontwikkelaars te vergroten?
Kernvak, oefeningen en prototype
Uit het onderzoek is gebleken dat veel webontwikkelaars weinig kennis hebben over veilige codering. In de huidige ICT-opleidingen is secure coding nog geen kernvak. Het onderwerp komt alleen terug als keuzevak of specialisatie. Het advies is daarom om secure coding als ‘must have’ in plaats van als ‘nice to have’ een plek te geven in de opleiding. Het aspect digitale veiligheid zou al vanaf het moment dat studenten voor het eerst leren coderen of aan de slag gaan met het bouwen van een webapplicatie aan bod moeten komen. Dit zorgt niet alleen voor bewustwording bij studenten, maar ook bij docenten. Er ligt dus ook een actie bij de opleiding en hogeschool. Een tweede advies voor ontwikkelaars is om vooral te leren door te doen (oefenen met trainingen en goede opdrachten) in plaats van alleen te luisteren of te kijken. Lees daarnaast ook beveiligingsblogs en IT-nieuws om op de hoogte te blijven van ontwikkelingen en nieuwe aanvalstechnieken.
Om veilige codes beter onder de aandacht te brengen is in dit stageproject gewerkt aan een prototype. Dit prototype geeft een overzicht van materialen, oefeningen en tutorials over de meest voorkomende secure coding onderwerpen en de meest gebruikte web programmeertalen. Er is gekeken naar het materiaal op beginner, intermediate en expert niveau. Zo kunnen (toekomstige) webontwikkelaars, afhankelijk van hun ervaring en kennis kijken welke kennis ze missen en hoe ze dit verder zouden kunnen ontwikkelen. Voor docenten van de HBO-ICT opleiding is dit overzicht ook een handig hulpmiddel om in hun lessen te gebruiken.
Ervaring van Suly-ann
“Tijdens deze stage heb ik leuke collega’s ontmoet. Door deel te nemen aan de (online) bijeenkomsten van het Centre of Expertise Cyber Security heb ik ervaring en kennis opgedaan. Ook was het leerzaam om feedback te krijgen. Ik heb samengewerkt met docenten van De Haagse Hogeschool en van Fontys Hogeschool evenals ontwikkelaars van organisaties werkzaam in de Dutch Innovation Factory. Door dit project te doen en secure coding oefeningen te maken, heb ik ook mijn eigen kennis en vaardigheid vergroot en tegelijkertijd een product gemaakt om anderen te ondersteunen. Het was een toffe uitdaging waar ik enorm veel van heb opgestoken.”
Meer informatie
Download het prototype: Secure Coding document (pdf)