Security

beveiliging, cybersecurity, informatiebeveiliging, applicatiebeveiliging, software security, AppSec, infosec, netwerkbeveiliging, security by design, DevSecOps, IT-beveiliging, digitale veiligheid
Security is het geheel aan maatregelen om applicaties, data en infrastructuur te beschermen tegen misbruik, datalekken en uitval. In development gaat het om ontwerp, implementatie, testen en monitoring door de volledige lifecycle.
Development

Wat is Security?

Security in de context van softwareontwikkeling draait om het beschermen van systemen, applicaties en data tegen bedreigingen zoals aanvallen, misconfiguraties en menselijke fouten. Het doel is om risico's te beperken en continuïteit te waarborgen.

Kernprincipes

  • Confidentialiteit: Voorkom ongeautoriseerde toegang tot gegevens.
  • Integriteit: Waarborg dat data en systemen niet ongewenst worden gewijzigd.
  • Beschikbaarheid: Zorg dat systemen en data toegankelijk blijven wanneer nodig.
  • Authenticiteit & traceerbaarheid: Verifieer identiteit en leg acties herleidbaar vast.

Veelvoorkomende risico's

  • Broken access control, injecties (zoals SQL), XSS, SSRF en onveilige deserialisatie.
  • Verouderde componenten, zwakke configuraties en onvoldoende logging/monitoring.
  • Supply chain-risico's (afhankelijkheden, packages, build-pijplijnen).

Security in de ontwikkelcyclus

Moderne teams passen security by design en DevSecOps toe: vroegtijdige threat modeling, veilige architectuur, secure coding, geautomatiseerde testen (SAST/DAST/IAST), veilige deployment (secrets management, hardened omgevingen) en continue monitoring/incidentrespons.

Normen en richtlijnen

  • OWASP (Top 10, ASVS, SAMM)
  • ISO 27001/27002, NIST-kaders
  • CIS Benchmarks voor hardening
  • AVG/GDPR voor dataprotectie en privacy-by-design

Toepassingen

Security wordt concreet in processen, tooling en controles die door de hele softwareketen lopen.

Secure coding & architectuur

  • Inputvalidatie, parametrized queries en output-encoding om injecties en XSS te voorkomen.
  • Least privilege, scheiding van verantwoordelijkheden en threat modeling.
  • Rate limiting en anti-automation om misbruik te beperken.

Identiteit en toegangsbeheer

  • Authenticatie met MFA, veilige sessiebeheer en moderne protocollen (OIDC/OAuth 2.0).
  • Autorisatie met RBAC/ABAC en contextuele policies.

Databeveiliging

  • Encryptie in transit (TLS) en at rest, inclusief sleutel- en certificaatbeheer.
  • Secrets management via vaults; minimaliseer PII en pas privacy-by-design toe.

Supply chain & dependencies

  • Software Composition Analysis (SCA), SBOM, gesigneerde artefacten en pinning van afhankelijkheden.
  • Veilige CI/CD-pijplijnen met gescheiden credentials en least privilege.

Infrastructuur en cloud

  • Hardening (CIS), netwerksegmentatie, WAF en DDoS-bescherming.
  • Container- en Kubernetes-beveiliging (scannen, policies, runtime bescherming).

Webspecifieke maatregelen

  • Security headers: CSP, HSTS, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, cookies met Secure, HttpOnly en SameSite.
  • CORS correct configureren.

Monitoring, testen en respons

  • Centraal loggen, SIEM, detectie en alerting; audittrails.
  • SAST/DAST/IAST, fuzzing, pentests en grondige code reviews.
  • Vulnerability management, patching, back-ups en disaster recovery.

Governance & compliance

  • Beleid, risicobeoordelingen, secure development lifecycle en trainingsprogramma's.
  • Naleving van wet- en regelgeving (zoals AVG) en periodieke audits.

Veelgestelde vragen

Security richt zich op het beschermen van systemen en data tegen ongeautoriseerde toegang, manipulatie en uitval. Privacy gaat over het rechtmatig en transparant verwerken van persoonsgegevens en het minimaliseren van identificeerbare data. Goede security ondersteunt privacy, maar privacy vereist ook beleid, processen en naleving van regelgeving zoals de AVG.

  • Shift left: voer threat modeling en security requirements vroeg in het ontwerp uit.
  • Automatiseer: SAST/DAST/IAST, SCA en secrets-scans in CI/CD.
  • Stel baseline policies op: coding standards, code reviews, dependency management.
  • Beveilig delivery: gescheiden accounts, least privilege, gesigneerde builds en artefacten.
  • Monitor en reageer: centrale logging, alerting, incidentrespons en postmortems.
  • Train teams: periodieke security awareness en hands-on secure coding.
  • Content-Security-Policy (CSP): beperk welke bronnen geladen mogen worden.
  • Strict-Transport-Security (HSTS): forceer HTTPS.
  • X-Content-Type-Options: nosniff: voorkom MIME-sniffing.
  • Referrer-Policy: beperk meegestuurde referrer-informatie.
  • Permissions-Policy: controleer toegang tot API's (zoals camera, geolocatie).
  • Cookies met Secure, HttpOnly en SameSite.
  • Gebruik frame-ancestors in CSP in plaats van het verouderde X-Frame-Options.

Auteur & updates

Auteur: Wouter
Publicatiedatum: 29-01-2026
Laatste update: 29-01-2026