Presentasjon advocatesFagkveld - Test Driven Application Security + Advocates

Mandag 16. januar var det duket for årets første fagkveld i ITverket-regi. Det var tydelig at mange hadde ladet batteriene godt i juleferien og var klare for å ta fatt på et nytt år. Ca 50 ITverkere hadde samlet seg i andre etasjen på Kulturhuset denne januarkvelden for å få litt faglig input.

Første halvdelen av programmet var satt av til presentasjoner av våre nyutnevnte advocates og deres opplegg for den kommende våren.
Om du lurer du på hva en advocate er, så skal du få svaret her.

En Advocate er en nøkkelperson i vårt fagmiljø og en som er ekstra opptatt av å bygge kompetanse og utvikle ansatte på tvers av hele ITverket. Hver advocate har ansvar for et spesifikt fagområde som er strategisk viktig for selskapet og våre ansatte, og vil tilrettelegge for aktiviteter og arrangementer knyttet opp mot dette.

Vi har nå ni advocates med ansvar for ni forskjellige fagområder som sammen skal bidra til å utvikle ITverkets fagmiljø til å bli ledende i Norge og Europa.
De ni advocatene med deres fagområder er som følger:

• Andre Sørhus –> Arkitekt
• Eivind Jahr Kirkeby –> Sikker utvikling
• Sander Aker Christiansen –> Cloud
• Yong Bin Kwon –> Objekt orientert programmering + Kotlin
• Amar Trebinjac –> Frontend + UX
• Tjalve Aarflot –> Composable Content
• Øystein Blixhavn –> Plattform & infrastruktur
• Kim Rune Solstad –> Domain-Driven Design
• Ole Andreas Rydland –> Teknologiledelse

Denne gjengen er allerede godt i gang med fagarbeidet, og har lagt solide planer for å bygge kompetansekultur fremover i ITverket. Flere boksirkler har blitt gjennomført, der relevant faglitteratur har blitt diskutert i mindre grupper. I løpet av de neste månedene vil det bli arrangert kurs, workshops, talks, fagkvelder og andre fagarrangementer i regi av våre advocates.

Etter at gutta ovenfor fikk presentert seg selv og opplegget sitt, var det tid for mat. Alle fikk servert Kulturhusets hjemmelagde pokebowls sammen med noe godt å drikke. Etter matpausen var vi så heldige å få besøk av 10 av våre svenske kollegaer fra Omegapoint sitt Gøteborgkontor, som var i Oslo anledning NDC Security, både som foredragsholdere og deltagere.

Da ryktene om vår fagkveld spredte seg over grensen til Sverige, tok Tobias Ahnoff og Martin Altenstedt kontakt med oss, og lurte på om vi ville ha en eksklusiv førpremiere av talken de skulle holde på NDC Security noen dager senere. Dette er to drevne foredragsholdere med høy kompetanse innenfor sikker utvikling, så dette kunne vi ikke si nei til.

Tobias og Martin holdt foredraget Test Driven Application Security, et foredrag som tar for seg viktige aspekter man bør kjenne til når man driver med utvikling av API’er. De viste oss hvordan man ved hjelp av enkle enehetstester på kontroller-nivå, kan innføre arkitekturprinsipper som Zero Trust og Least Privilege for å bygge sikre API’er. I praksis betyr Zero Trust og Least Privilege at man som utvikler må:

• Autentisere hver eneste klient og bruker
• Verifisere tilgangskontroll for hver eneste nettverksforespørsel
• Begrense alle aktørers tilganger til det minimum
• Anse alle nettverk som usikre

Ved å følge de nevnte designprinsippenge og punktene ovenfor når man utvikler API’er, kan man være trygg på at de holder en høy grad av sikkerhet. Slik at man unngår å miste kontroll over funksjonalitet og data.

Avslutningsvis vil vi takke våre nyutnevnte advocates for jobben dere gjør og skal gjøre for å løfte fagmiljøet vårt til nye høyder. I tillegg vil vi rette en stor takk til Tobias og Martin for at de gledelig delte sine kunnskaper og erfaringer med oss. Dette var både interessant og lærerikt.

Test Driven Application Security tar for seg prinsipper fra boken Secure by Design kommer fra boken Secure by Design av Dan Bergh Johnsson, Daniel Deogun and Daniel Sawano. På Omegapoint sine nettsider og GitHub-konto kan man lese mer om Test Driven Application Security og sette seg dypere inn i tankegangen bak prinsippene.