Security is geen checkbox meer. Het dreigingslandschap voor software is in 2025 fundamenteel anders dan vijf jaar geleden. Supply chain attacks, AI-gegenereerde exploits en steeds strengere regelgeving dwingen ontwikkelteams om security structureel anders aan te pakken. Dit zijn de vijf veranderingen die er het meest toe doen.

1. Shift left is geen slogan meer - het is een eis

Shift left betekent dat security niet pas bij de penetratietest begint, maar bij de eerste regel code. In de praktijk zien we steeds meer teams die SAST-tooling (Static Application Security Testing) direct in hun CI/CD-pipeline integreren. Tools als SonarQube, Semgrep en GitHub Advanced Security scannen elke pull request op bekende kwetsbaarheden.

Het verschil met vroeger: deze tools zijn snel genoeg geworden om in elke build te draaien. Geen excuus meer om security pas aan het eind te testen. De vuistregel is simpel: als je build slaagt met bekende kwetsbaarheden, is je pipeline incompleet.

2. DAST en SAST samen - niet of/of

DAST (Dynamic Application Security Testing) test je draaiende applicatie van buitenaf. SAST analyseert je broncode. Beide vangen andere categorieën bugs. SAST vindt SQL-injection in je code; DAST vindt misconfiguraties in je deployment. In 2025 is de consensus helder: je hebt beide nodig.

De praktische uitdaging zit in het reduceren van false positives. Niets doodt security-adoptie sneller dan een team dat dagelijks honderden valse meldingen moet triagen. Investeer tijd in het tunen van je regelsets. Begin met een kleine set strenge regels en breid uit wanneer het team het ritme te pakken heeft.

3. Secrets management is volwassen geworden

Hardcoded secrets in repositories zijn nog steeds de nummer één oorzaak van datalekken. Maar de tooling om dit te voorkomen is in 2025 uitstekend. Azure Key Vault, HashiCorp Vault en GitHub secret scanning maken het triviaal om secrets buiten je code te houden.

De echte verandering: secret rotation wordt standaard. Geen statische API-keys meer die jarenlang geldig zijn. Kortlevende tokens, managed identities en workload identity federation vervangen de gedeelde service accounts van weleer. Als je nog ergens een connection string in een appsettings.json hebt staan, is 2025 het jaar om dat op te lossen.

4. API security verdient een eigen strategie

Met de explosie van API-first architecturen is de API het primaire aanvalsoppervlak geworden. OWASP heeft niet voor niets een aparte API Security Top 10. De meest voorkomende fouten die we tegenkomen:

  • Broken Object Level Authorization - een gebruiker kan via de API objecten van andere gebruikers benaderen
  • Excessive data exposure - de API retourneert meer velden dan de consumer nodig heeft
  • Geen rate limiting - brute force en denial-of-service liggen op de loer

De oplossing begint bij API-gateway-configuratie en eindigt bij bewuste autorisatielogica in je domeinlaag. Tools als Azure API Management bieden throttling, JWT-validatie en request-transformatie out of the box.

5. Supply chain security is niet meer optioneel

Na SolarWinds, Log4Shell en de xz-utils backdoor is supply chain security een boardroom-onderwerp. In de praktijk betekent dit:

  • Software Bill of Materials (SBOM) genereren voor elke release
  • Dependency scanning in je pipeline - tools als Dependabot, Snyk of OWASP Dependency-Check
  • Pinning van dependencies - geen floating versions in productie
  • Verificatie van package integriteit - signeren en checksums controleren

De NIS2-richtlijn maakt dit voor veel organisaties ook juridisch verplicht. Wie dit nog niet op orde heeft, loopt risico - niet alleen technisch, maar ook compliance-matig.

Aan de slag

Security is een continu proces, geen project. Begin met de basis: secrets uit je code, SAST in je pipeline, en dependency scanning op elke build. Bouw van daaruit verder. Bij NForza integreren we security in elke fase van softwareontwikkeling - omdat bedrijfskritische software geen concessies toelaat.