Trivago en Continuous Delivery 3.0

Trivago heeft de volledige dienstverlening op Amazon Webservices (AWS) gestoeld. Woensdag 2 mei 2018 presenteerde Wilco van Duinkerken van Trivago de AWS-implementatie bij de Continuous Delivery 3.0 Masterclasses op het Science park van Universiteit Utrecht. Alle cursisten waren weer sprakeloos aan het einde van de presentatie.

Wilco vertelde eerst kort over de diensten van Trivago. Daarna vertelde hij hoe Trivago de Cloud solution diep heeft ingebed in de dienstverlening. Trivago kan daardoor nagenoeg per direct, bijna oneindig opschalen. Hier merkt een gebruiker niets van. Trivago werkt daarbij veelvuldig met Serverless code op het Lambda platform.

 
Lables.jpg
 

Bij het gebruik van de cloud ontstaan er vele nieuwe mogelijkheden. Maar er ontstaan ook nieuwe uitdagingen. Zoals bij het scripten van Infrastructure as Code en upscaling. Wat doe je bijvoorbeeld met de tijdsvertraging in het bijschakelen van machines en hoe voorkom je dat er (veel) teveel machines worden bijgeschakeld. En als Amazon dan zelf met een oplossing komt gooi je dan echt meteen alle bestaande code weg en vertrouw je volledig op 'de cloud provider'?

 
IaC.jpg
 

Ook ga je als softwarebedrijf heel anders aankijken naar Running cost van software, omdat Running cost per softwarefunctie wordt gemeten. Elke ontwikkelaar is daarom verantwoordelijk voor de Running cost van software. Ontwikkelaars worden hierdoor gestimuleerd om te kosten continue te verlagen.

Elke nieuwe sessie van de metazoekmachine voor hotels maakt duidelijk dat de marktontwikkelingen op softwaregebied onverminderd snel gaan. 

Het Instituut dankt Trivago en Wilco weer voor de inspirerende sessie en zien uit naar de volgende sessie in het najaar.



Kijk voor meer cursusinformatie op onze cursuspagina

PEN-test platform voor operationele Cybersecurity

27215565951_83f6c82dba_b.jpg

Het NISI financiert innovatieprojecten. Een recent innovatieproject is het PEN-test platform. Het PEN-test platform is onderdeel van Continuous Testing van Continuous Delivery 3.0.

Het PEN-test platform bevat een portfolio aan PEN-tests. De PEN-tests zijn geïntegreerd in het Continuous Delivery 3.0 platform dat in 2017 bij het NISI is ontwikkeld. Als er een nieuwe versie van de software wordt gereleased dan voert het platform alle benodigde tests uit, als onderdeel van Continuous Testing. Alle testen zijn gebaseerd op open-source tooling, ter beperking van lock-in. De resultaten worden gerapporteerd in een overzichtelijk rapport.

Het platform zorgt voor tijdige identificatie van kwetsbaarheden in websites en webservices, zodat ontwikkelaars de software herstellen, voordat het publiekelijk beschikbaar is. Het PEN-test platform voorkomt dataleks die met de AVG-wetgeving zo op het netvlies staat bij iedereen.

De resultaten zijn geïntegreerd het gedachtegoed van Cybersecurity en Continuous Delivery 3.0.



Kijk voor meer cursusinformatie op onze cursuspagina

Intensievere samenwerking met (software) Universiteit Utrecht

xxl.jpg

Het Nederlands Instituut voor de Software Industrie en Universiteit Utrecht werken nu ook samen op het gebied van studentprojecten. De studentprojecten vinden plaats bij Nederlandse softwarebedrijven. De projecten hebben tot doel om de nieuwe generatie softwarespecialisten en Nederlandse softwarebedrijven te ontwikkelen.

Sommige van de studentprojecten zijn generieker en innovatiever van karakter. Deze projecten vinden plaats bij het NISI. In deze innovatieprojecten worden technische innovaties vertaald naar bedrijfsoplossingen.

Een voorbeeld is het PEN-test platform als onderdeel van Continuous Testing, dat kritische kwetsbaarheden opspoort, voordat de software publiekelijk beschikbaar komt. Het voorkomt kritische kwetsbaarheden in software en datalekken.



Kijk voor meer cursusinformatie op onze cursuspagina

NISI op bezoek bij Hague Security Delta

Cybersecurity is iets dat je samen doet. Enkel met een netwerk van specialistische organisaties zijn we in staat het Cybersecurity kenniscentrum verder te ontwikkelen. We doen die ontwikkeling met security-specialisten in Nederland en instituten die het verschil maken.

 
23d57100-87d2-4232-8e84-dc55bde0932d-1-680x380.jpg
 

Komende week zijn we op bezoek bij The Hague Security Delta Campus. Het is het thuis van bedrijven, regering en onderzoeksinstituten op security-gebied.

Samen met het HSD, studenten van Universiteit Utrecht en specialisten bouwen we het kenniscentrum verder op. Inmiddels heeft het NISI een prachtige Cybersecurity cursus ontwikkeld waarin het NISI het abstracte concreet maakt met vele praktijkvoorbeelden.

We danken alle partijen voor hun bijdrage en ondersteuning bij de realisatie van het instituut om Nederland veiliger te maken.



Kijk voor meer cursusinformatie op onze cursuspagina

Otto de Graaf gastspreker bij cursus SPM

Software Product Management vormt de spil tussen de operatie en strategische visie van het softwarebedrijf. Het vertaalt de strategische visie naar een portfolio met realistische producten.

Afgelopen week was Otto de Graaf gastdocent bij de cursus Software Product Management. Otto is al decennia lang actief in de software industrie. Het werkgebied van Otto bevindt zich op het snijvlak van Product, Marketing en Strategie. Hieronder zie je enkele van Otto's slides:

 
Screenshot_20180412_132924.png
 

Otto vertelde over zijn visie van Product management, en de essentie van leiderschap bij een softwarebedrijf. Onder Otto’s supervisie heeft SDL Tridion een enorme groei doorgemaakt, en de sterke visie van Otto zorgde ervoor dat SDL Tridion een tijd lang bovenaan in de Forrester Wave heeft gestaan.

 
Screenshot_20180412_132946.png
 

Benieuwd naar Otto’s verhalen over productvisie en marktleiderschap? Hij zal zijn verhaal nogmaals vertellen tijdens de najaarscursus van Software Product Management. Meer weten? Kijk eens op de onderzoeks- en cursuspagina.

 
Screenshot_20180412_133131.png
 



Kijk voor meer cursusinformatie op onze cursuspagina

Continuous Intelligence op het Europees Refsq congres

In deze editie van het Refsq was het NISI (Nederlands Instituut voor de Software Industrie) uitgenodigd voor een update over Continuous Intelligence. Dr. Jan Vlietland vertelde hierin, met voorbeelden, een inspirerend verhaal over het automatiseren van Requirements Analytics.

 
IMG_3050.JPG
 

Door het automatiseren van requirements analyse komt tijd vrij van Product Owners, Product Managers en Business Analisten. Hierdoor kunnen ze zich richten op wat echt het verschil maakt. Computersystemen zijn tegenwoordig krachtig genoeg om met Big Data en Machine Learning eenvoudig requirements te achterhalen uit enorme hoeveelheden gebruiksdata.

Het Refsq is het leidende jaarlijks terugkerend Europees congres over Requirements Engineering. In het congres komt de software industrie en onderzoekers samen ten behoeve van de ontwikkeling van dit prachtige vakgebied. Sprekers vertellen in 20-30 minuten durende blokken inspirerende verhalen over vraagstukken of onderzoeksresultaten op het gebied van requirements engineering.

Het congres is de moeite waard voor iedereen die zich bezig houdt met Requirements Engineering en Continuous Intelligence. Voor meer informatie bezoek je de website van het Refsq.

Voor meer informatie over Continuous Intelligence bezoek je de onderzoeks en cursuspagina.

Met dank aan iedereen die het congres weer mogelijk heeft gemaakt.

 
refsq18GroupPhoto.jpg
 



Kijk voor meer cursusinformatie op onze cursuspagina

De rol van Artificial Intelligence in Cybersecurity

big-data.jpg

Petabytes aan data gaan elke dag over bedrijfsnetwerken. Het detecteren van cyberaanvallen is dan ook een zeer data-intensief werk. De vraag is hoe je in die enorme hoeveelheid data cybersecurity aanvallen detecteert.

Traditioneel werden de patronen van cyberaanvallen gecodeerd. Het scannen van poorten is een eenvoudig voorbeeld hiervan. Dit is tijdrovend en een rigide vorm van detectie. Rigide want als een aanvaller de detectiesoftware kent dan kan deze een aanval plannen die de software niet herkent.

Met de komst van machine intelligence doen intelligentere detectie mogelijkheden hun intrede. Een AI leert onderscheid maken tussen bonafide en malafide verkeer, terwijl de AI het dataverkeer monitort. Daarbij gebruiken we supervised machine learning en unsupervised machine learning als middel.

Met de open source library Tensorflow en de taal R kan je met enkele regels code een intelligente netwerkmonitor ontwikkelen dat 24x7 leert van dataverkeer.

 
 

Met de tijd neemt de intelligentie toe en worden steeds geavanceerdere vormen van cyberaanvallen herkend. Op dit moment werken we aan zo'n monitor voor de cursus Cybersecurity & Continuous Intelligence.



Kijk voor meer cursusinformatie op onze cursuspagina

Cybersecurity introductie slidedeck staat nu online

Untitled.png

Het NISI instituut heeft een Cybersecurity & Continuous Intelligence (toegepaste Data Analytics & Machine Learning)  onderzoekslijn, met als doel om software en netwerken veiliger en vertrouwder te maken. 

Het NISI biedt op basis daarvan een Cybersecurity & Continuous Intelligence cursus aan. Sinds vandaag staat de nieuwe introductie slidedeck online. De slidedeck geeft een mooie impressie over dit boeiende vakgebied en de bijbehorende toepassingen.



Kijk voor meer cursusinformatie op onze cursuspagina

Penetration testing onderdeel van het Software Development team

COL_Logo_600px_600_1.png

Softwarebedrijven boden vroeger software aan als installatie dat on-premise werd gehost. Tegenwoordig wordt software echter in toenemende mate als service aangeboden. Daarmee verschuift de verantwoordelijkheid voor beveiliging van afnemer naar aanbieder. De GDPR/AVG-wetgeving weerspiegelt deze verantwoordelijkheid duidelijk. In dit artikel geven we handvatten hoe je van Penetration (PEN)-testing core-business maakt.

Een regel code maakt het verschil tussen: data is veilig en data ligt op straat. Softwarebedrijven in Nederland gaan dan ook zeer serieus om met deze verschuiving en maken PEN-testing onderdeel van hun core-business. PEN-testen mag je niet enkel uitbesteden. Het is te zeer verweven met de core van het softwarebedrijf. Zeker als software frequenter wordt gereleased.

Applicatielaag als doelwit
De applicatielaag verdedigen is het moeilijkste omdat deze altijd is verbonden met het web (port 80, 443). De kwetsbaarheden ontstaan door complexe input vanuit het web, waardoor malafide gebruik moeilijk detecteerbaar is. Het testen vraagt diepgaande kennis van de applicatielaag (whitebox testing).

Zero-day attacks
Het onbedoeld introduceren van kwetsbaarheden worden zero-day vulnerabilities genoemd. Verreweg de meeste kwetsbaarheden in proprietary code blijken zero-day kwetsbaarheden. Een ervaren hacker vindt en benut deze kwetsbaarheden in zeer korte tijd, zonder gedetecteerd te worden.

PEN-testen als core-business
Voor het vinden van kwetsbaarheden is Penetration testing noodzakelijk. De PEN-testset wordt beheerd door het software development team en elke release geactualiseerd en waar mogelijk geautomatiseerd. De set test omvat ook third-party components, zoals een webserver.

Cybersecurity activiteiten
Cybersecurity bestaat uit vijf hoofdactiviteiten: (1) Identify, (2) Protect, (3) Detect, (4) Respond en (5) Recover. Het onderstaande overzicht van het NIST geeft verder inzicht:

download.png

Software frameworks
Diverse software frameworks ondersteunen geautomatiseerd PEN-testen, zoals Burp Suite, Metasploit project en Nmap, Owasp ZAP. Kali Linux bevat een basis testsuite om de mogelijkheden te verkennen.

Als je meer wilt weten over Cybersecurity en expert wilt worden om Nederland en je bedrijf veiliger te maken, dan is cursus Cybersecurity & Continuous Intelligence waardevol. Je ontwikkelt in kleine groepen kennis en bouwt een sterk netwerk van gelijkgestemden.



Kijk voor meer cursusinformatie op onze cursuspagina

Top tips & tricks to prepare yourself for GDPR

download.jpeg

General Data Protection Regulation (GDPR) becomes effective in the European Union. Here are the top-8 tips to prepare your software company for GDPR:

  1. Raise Awareness: Make it your responsibility to raise awareness internally within your peer groups, company, and board-level associates.
  2. Identify what data the company retains: Document what personal data is stored. Identify where it came from, the reasons why it is stored, and create a yes/no checklist as to whether it is necessary to store it.
  3. Remove any unused personal data that is no longer required for regulatory or historical reasons, on all software systems and databases.
  4. Create a GDPR-responsibility-framework: Create an organizational chart showing which role, or third party where applicable, is responsible for each element of GDPR.
  5. Update security data policies and procedures: One of the most important aspects of GDPR is that policies and procedures must be easily accessible and must also be easy to understand.
  6. Make sure that GDPR becomes part of way of working of every person: GDPR should be a normal part of the daily working life, just as getting up and going to the office.
  7. Prepare for a data breach: The fines for a data breach are huge—up to 20 million euro or four percent of global turnover of the company.
  8. Know the rights that people have and prepare to be challenged: The company owner and board is responsible for demonstrating why data storage and processing is needed and ensuring its integrity.

Click here for more information.



Kijk voor meer cursusinformatie op onze cursuspagina