Ga naar inhoud
ISMS YipYip

Secure development life cycle

Geimplementeerd DevOps Lead

Wat we doen

Elke regel code doorloopt: Ontwerp — Ontwikkeling — Test — Acceptatie — Productie.

Security zit in elke stap:

  • Ontwerp — security by design met OWASP Top 10 als referentiekader. Bij zorgapplicaties: checklist zorgapplicaties.
  • Ontwikkeling — feature branches (git-flow), Docker containers (local = live), style guides + secure coding verplicht.
  • Test — geautomatiseerde tests in CI/CD. Code review verplicht voor elke merge naar beschermde branches.
  • Acceptatie — staging-omgeving voor klantacceptatie. Apps: TestFlight (iOS) / Google Play testing.
  • Productie — pas na expliciete goedkeuring product owner. Deployment door DevOps.

Branch protection

  • feature/* — PR naar develop, code review verplicht
  • develop — protected, PR + review door geautoriseerde developer
  • release/* — alleen version bumps, review door DevOps
  • master — protected, alleen via release/hotfix PR, merge door DevOps na review
  • hotfix/* — spoedfix vanaf master, review door DevOps

Omgevingsscheiding

Strikt gescheiden: lokaal, test, acceptatie/staging, productie. Docker zorgt voor consistentie (local = live). Nooit echte data in test/acceptatie.

Testbeleid

  • Elk endpoint: minimaal 1 test
  • Kritieke business logic: alle cases afgedekt
  • Bugfixes: bug wordt testcase (regressiepreventie)
  • Afwijkingen alleen met goedkeuring directie

Gaps

Geen significante gaps. PR + review is verplicht (branch protection), CI/CD draait tests + security scanning, omgevingen strikt gescheiden, nooit echte data in test.

Bewijs

  • GitHub branch protection rules + PR reviews
  • CI/CD pipeline configuratie
  • Docker development environments (per project repo)
  • VPC monitoring en auto-scaling configuratie