Hopp til hovedinnhold

Ny Security Champion 🤗

Har du akkurat blitt Security Champion? Gratulerer! 🎉

… Men du lurer kanskje på hva det betyr i praksis? Her finner du noen tips til hvor du kan begynne. 🚀

Tips til aktiviteter for nye Security Champions

Få en oversikt over sårbarheter i avhengigheter 👀

Noen estimater sier at så mye som 85 % av koden i en typisk applikasjon er skrevet av andre enn oss selv. Det er derfor minst like viktig å følge med på sikkerheten i tredjepartskoden, som sin egen kode. Les mer på siden «Tredjepartskode».

Praktisk oppgave – Snyk
  1. Sett opp et verktøy som Snyk
  2. Få en oversikt over hvilke avhengigheter dere har
  3. Rett opp sårbarheter avdekket av verktøyet 🥷

Les gjennom temaene i playbooken 📚

Playbooken forsøker å samle informasjon som er nyttig og relevant for det daglige arbeidet med sikkerhet i produktteam. Siden «Sikker utvikling i NAV IT» inneholder en liste med tema som de fleste burde kjenne til, men som ikke er åpenbare nok til at vi kan ta for gitt.

Praktisk oppgave – Les gjennom temaene under «Sikker utvikling i NAV IT»
  1. Gå til «Sikker utvikling i NAV IT»
  2. Les gjennom temaene og se om du lærer noe nytt
  3. Tenk gjennom om det er noe du savner 💭

Bidra til Security Playbook 🎖

Playbooken er drevet av Security Champions selv. Det er derfor viktig at alle føler de kan bidra, og at endringer ikke må gå gjennom en lang, tung, og byråkratisk prosess. Les mer på siden «Introduksjon».

Praktisk oppgave – Oppdater playbooken
  1. Gå til security-playbook-koden på GitHub
  2. Finn én ting du kan endre under docs-mappen (eller mer!)
  3. Commit og push endringen til main 🥳

Ta en kaffe med en annen Security Champion! ☕️

En av de beste måtene å lære, er å sammen lære av hverandre. «Security Champion»-nettverket består av mange flinke folk, så hvorfor ikke finne noen å prate med og lære sammen?

Praktisk oppgave – ta en kaffeprat
  1. Finn en Security Champion i Teamkatalogen du ikke har snakket med før
  2. Inviter personen til en kaffeprat
  3. ☕️

Gå gjennom loggene til teamet 🪵

Logging er utrolig nyttig, men kan også være bli litt skummelt om man ikke tenker seg godt nok om. På siden «Logging» står det litt om hva som kan være greit å tenke på rundt logging.

Praktisk oppgave – Finn ut hva som logges i teamet ditt
  1. Finn ut hvordan applikasjonene til teamet logger
  2. Let etter steder hvor det logges enten for lite eller for mye
  3. Rett opp koden 🎖

Fjern gamle tjenester og systemer 🪦

Gamle tjenester er gjerne de som glemmes når det kommer til sikkerhet. Dersom teamet deres har tjenester som fremdeles kjører, men som ingen lenger passer på, kan det fort bli til en tikkende sikkerhetsbombe. 💣

Praktisk oppgave – fjern gamle tjenester
  1. Finn ut hva som kjører i de ulike miljøene (sbs, fss, gcp, …?)
  2. Se om noe ikke brukes lenger og kan skrus av
  3. Skru det av 🪦 (husk å feire med kake! 🍰)