Ga naar inhoud
ISMS YipYip

Secure coding

Geimplementeerd DevOps Lead

Wat we doen

Alle code wordt verplicht gereviewd voor merge naar beschermde branches. Reviews checken expliciet op:

  • Formatting — naleving style guides
  • Dependencies — bekende kwetsbaarheden
  • Security issues — OWASP Top 10 als baseline
  • Idiomatic language use — correct en veilig taalgebruik

Merges naar master vereisen review door een admin (DevOps).

Style guides

  • Elixir — lexmag style guide
  • JavaScript — ESLint
  • (S)CSS + HTML — BEM-methodologie
  • Swift — Google Swift Style Guide
  • Java — Google Java Style Guide

Testbeleid

  • Elk endpoint: minimaal 1 test
  • Kritieke business logic: alle cases afgedekt
  • Bugfixes worden testcases (regressiepreventie)
  • Afwijkingen alleen met expliciete goedkeuring directie

Technische maatregelen

  • Branch protection rules op master en develop (GitHub)
  • PR-based code reviews verplicht
  • Geautomatiseerde tests in CI/CD pipeline
  • Docker containers voor consistente omgevingen (local = live)
  • Linters (ESLint e.a.) voor style guide enforcement
  • Dependency checks als onderdeel van review

Gaps

Geen significante gaps. Het development process is solide: PR + review verplicht (branch protection), CI/CD met tests + security scanning, strikt gescheiden omgevingen, nooit echte data in test.

Bewijs

  • GitHub branch protection + PR reviews
  • CI/CD pipeline configuratie
  • Docker development environments (per project)
  • YipYip Mobile Development Guidelines (github.com/weareyipyip)