Fagkveld 16.06.22Secure by Design med Dan & Dan

ITverket har i 2022 valgt å fokusere på sikkerhet. Dette betyr at året blir fylt med Kontra Application Security Training, men vi trenger mer! Derfor var vi så heldige som fikk mulighet til å få besøk av Daniel Deogun og Dan Bergh Johnsson, bedre kjent som Dan & Dan, fra Omegapoint, som skulle prate om Secure by Design. Söta bror hadde sendt to av sine beste representanter for å lære sine kjære naboer mer om sikkerhet - og viktigheten av et godt design. De har tidligere vært keynote speakers på JavaZone, så dette visste vi at kom til å bli bra! Link til JavaZone finner du her.

De startet foredraget med en ganske så grei avklaring - skjønte vi det de sa, eller skulle de ta foredraget på engelsk? Vår eminente fagsjef svarte for alle da han sa de bare skulle kjøre på med svensk. Var alle enige? Må vel ærlig si at noen gloser gikk over hodet på meg, men det var kanskje bare meg.

Dan & Dan gikk gjennom ulike konsepter knyttet til Secure by Design, hvor de startet showet med å gå gjennom hvordan design og sikkerhet er knyttet opp mot hverandre. Dette ble visualisert ved hjelp av et gammelt bankran fra 1854, hvor en bank i Sverige ble frarøvet 900 000 riksdaler, omtrent 5-10 millioner dollar ut fra dagens kurs. Denne banken hadde benyttet state of the art teknologi, hva gjelder låsemekanismer, men de hadde gjort andre fundamentale feil ved design av disse låsene, som gjorde at en ikke nødvendigvis trengte nøklene for å åpne opp dørene og skattekisten med alle riksdalene. Hengslene var nemlig plassert på yttersiden av døren, så det var bare å slå dem ut. Dersom dør og kiste hadde vært designet med hengslene på innsiden, ville aldri ranet ha funnet sted. Dette eksemplet kan være verdt å ha i bakhodet når en ønsker å sikre et system. Tar en ikke det fundamentalt grunnleggende først, er det ikke sikkert en får noe ut av det mer sofistikerte en putter oppå senere.

For at digresjonen ikke skal bli for lang, kan de som liker bankran og gode historier lese om dette her. Deretter gikk de om viktige konsepter innenfor Domain-Driven Design (DDD). En ny liten digresjon: Dan & Dan har faktisk holdt en keynote på DDD-Europe, tilbake i 2016. Den kan dere se i sin helhet her.

De tok for seg verdien til DDD og hvor strict (strengt) og rett frem et slikt system skulle være. Dette for å fange kun de viktigste aspektene til systemet. Tilslutt gikk våre svenske venner gjennom Domain Primitives, som er verdiobjekter presise nok i sin definisjon til at de ved sin eksistens manifesterer sine gyldigheter. Vanskelig setning. Eksisterer de, så er de gyldige. I praksis vil det si at dersom de har blitt opprettet, så tilfredsstiller de alle kravene vi stiller, fordi designet vi har valgt gjør at vi ikke trenger å bekymre oss for objektenes integritet.

Dette illustrerer egentlig veldig mye av det Secure by Design handler om; som utviklere ønsker vi å ivareta sikkerhet, men vi kan ikke bruke all tiden vår på det - fordi det går utover andre leveranseområder. For å “omgå” dette kan vi “snike” inn sikkerhet, ved å velge gode design-prinsipper, verktøy og stille med et tankesett der sikkerhet spiller en viktig rolle for produktet vi utvikler. På denne måten driver vi sikkerhet inn i prosjektet, uten at det er hovedfokus, og uten at det i hverdagen går på bekostning av den tiden vi bruker på koding og utvikling av applikasjoner.

Dan & Dan har skrevet en bok om Secure by Design, så om noen skulle ha interesse for dette, så finnes den både som e-bok og i papirformat.

Senere på kvelden var det duket for nok et show, men denne gangen et internt et. De siste månedene har nemlig Tjalve, med hjelp fra noen andre konsulenter, og Leila på marked, bygget opp våre nye hjemmesider. Denne kunne Tjalve og Leila stolt presentere på sommerfesten. Nettsiden finner du her. Stor ros til alle som har bidratt, og en spesiell stor ros til Tjalve for alle kvelds- og nattetimene han har brukt på dette. Sier det igjen. Stor ros!

Resten av kvelden gikk med til sang, dans og moro. DJ Eskel tok over miksebordet og geleidet oss gjennom mesteparten av det som gjensto av kvelden. Oral Bee og Mr. Pimp Lotion tok en svipptur innom og hadde en konsert som fanget de fleste i ITverket. En kunne spesielt se en engasjert Martin Smebye på fremste rad kose seg gløgg. Hvis resten koste seg halvparten så mye som Martin, minner det om en vellykket kveld.