From f3d8a3ad6886b3496da1534252b19246f64a54c0 Mon Sep 17 00:00:00 2001 From: Mwest2020 Date: Fri, 3 Nov 2023 13:22:53 +0100 Subject: [PATCH] GH docs --- docs/CONTRIBUTING.md | 19 ++++++++++++ docs/LICENSE.md | 7 +++++ docs/Roadmap.md | 8 +++++ docs/SECURITY.md | 70 ++++++++++++++++++++++++++++++++++++++++++++ 4 files changed, 104 insertions(+) create mode 100644 docs/CONTRIBUTING.md create mode 100644 docs/LICENSE.md create mode 100644 docs/SECURITY.md diff --git a/docs/CONTRIBUTING.md b/docs/CONTRIBUTING.md new file mode 100644 index 00000000..4eaad00f --- /dev/null +++ b/docs/CONTRIBUTING.md @@ -0,0 +1,19 @@ +# Bijdragen aan OpenWoo.app + +Deelnemen aan het OpenWoo.app project is een uitnodiging om deel uit te maken van een gemeenschap die zich inzet voor het creëren van een open en innovatief webplatform. Als open-source initiatief waarderen we de inbreng van iedereen, ongeacht ervaringsniveau of achtergrond. Hier zijn enkele manieren waarop u kunt bijdragen aan het project: + +1. **Issues Aanmaken:** + Als u een bug vindt, een nieuw kenmerk voorstelt of feedback wilt geven, kunt u een issue aanmaken op onze GitHub pagina: [Issues aanmaken](https://github.com/ConductionNL/woo-website-template/issues). Dit helpt ons om het project georganiseerd en prioriteit te geven aan werk dat moet worden gedaan. + +2. **Pull Requests Indienen:** + Heeft u een verbetering of een bugfix? Voel u vrij om een Pull Request (PR) in te dienen op onze [GitHub repository](https://github.com/ConductionNL/woo-website-template/). Zorg ervoor dat u de richtlijnen in de `CONTRIBUTING.md`-file volgt, zodat we uw bijdrage gemakkelijk kunnen beoordelen en samenvoegen. + +3. **Documentatie Verbeteren:** + Goede documentatie maakt een project toegankelijker en gebruiksvriendelijker. Als u verbeteringen ziet die kunnen worden aangebracht aan onze README, wiki, of andere documentatie, aarzel dan niet om suggesties te doen of direct bij te dragen. + +4. **Code Review:** + Help ons de kwaliteit van de code te behouden door deel te nemen aan code reviews, feedback te geven en suggesties te doen voor verbetering. + +Wij geloven in de kracht van een gemeenschap die samenwerkt om iets geweldigs te bouwen. Uw bijdragen, groot of klein, zijn waardevol voor het succes van OpenWoo.app. Samen kunnen we een open, flexibel en gebruiksvriendelijk platform creëren dat de manier waarop we op het web werken, transformeert. + +We kijken uit naar uw bijdragen en het samen bouwen aan een de OpenWoo.app. diff --git a/docs/LICENSE.md b/docs/LICENSE.md new file mode 100644 index 00000000..f841ae3b --- /dev/null +++ b/docs/LICENSE.md @@ -0,0 +1,7 @@ +# Licentie EUPL 1.2 + +De OpenWoo.app is een project dat gelicentieerd is onder de Europese Unie Public Licence (EUPL). De EUPL is een open-source licentie die is goedgekeurd door de Europese Commissie. Deze licentie biedt een sterke juridische basis om ervoor te zorgen dat de software vrij en open blijft, en is ontworpen om compatibel te zijn met andere licenties zoals de GNU General Public License (GPL). + +Door het gebruik van de EUPL, geeft OpenWoo.app aan dat het project gecommitteerd is aan het behouden van een open en collaboratieve omgeving. Gebruikers en ontwikkelaars hebben de vrijheid om de software te gebruiken, te wijzigen, en te delen, zolang zij zich houden aan de voorwaarden die in de licentie zijn gesteld. Dit omvat, maar is niet beperkt tot, het behoud van de licentie-informatie en de auteursrechtkennisgevingen wanneer de software wordt gedistribueerd, of wanneer afgeleide werken worden gecreëerd. + +De EUPL-licentie ondersteunt de juridische en operationele grondslagen van open-source projecten, en draagt bij aan het algemene doel van het bevorderen van softwarevrijheid en samenwerking in de gemeenschap. diff --git a/docs/Roadmap.md b/docs/Roadmap.md index c3982d91..0da40d3d 100644 --- a/docs/Roadmap.md +++ b/docs/Roadmap.md @@ -10,6 +10,14 @@ Voor de eerste opzet van de Woo-index van BZK is het belangrijk dat organisaties BZK heeft de ambitie om aan de hand van een harvester een eigen index op te bouwen op open.overheid.nl. Deze harvester maakt gebruik van `robots.txt` en `sitemap.xml`-bestanden om de verschillende pagina's en metadata van de organisatiespecifieke index te vinden en over te nemen. Dat betekent dat ook binnen de 2.0 variant van Woo een eigen indexpagina noodzakelijk blijft. Sterker nog, de kwaliteit van de ontsluiting wordt in grote mate afhankelijk van de kwaliteit van de index. +## Installeren via Helm Chart + +Het is mogelijk om de openwoo.app te installeren via een Helm Chart. Dit maakt het gemakkelijker om de website te installeren op een Kubernetes cluster, wat de operationele kosten verlaagt en de betrouwbaarheid verhoogt. Dit draagt bij aan de dienstverlening door de beschikbaarheid van de website te vergroten. De Helm chart zal voldoen aan de Haven-standaard. + +## Installeren via GitHub Actions + +De serverless Woo-pagina kan ook geinstalleerd worden via een GitHub Action. Door de installatie te automatiseren wordt het gemakkelijker om de website te installeren en te onderhouden, wat de operationele kosten verlaagt en de betrouwbaarheid verhoogt. Dit draagt bij aan de dienstverlening door de beschikbaarheid van de website te vergroten. + ## Raadsinformatie Systemen (Medio November) **Inschatting: 40 uur per RIS** diff --git a/docs/SECURITY.md b/docs/SECURITY.md new file mode 100644 index 00000000..df188cca --- /dev/null +++ b/docs/SECURITY.md @@ -0,0 +1,70 @@ +# Beveiliging + +Wij geloven in het integreren van beveiliging in de kern van ons ontwikkelingsproces. We maken gebruik van geautomatiseerde penetratietesten en scanning als onderdeel van onze Continuous Integration en Continuous Deployment (CI/CD) pipeline. Deze aanpak stelt ons in staat om mogelijke beveiligingskwetsbaarheden vroegtijdig te identificeren en aan te pakken, tijdens de ontwikkelingsfase in plaats van later in de productiefase. + +## Geautomatiseerde Penetratietesten + +Geautomatiseerde penetratietesttools zijn geïntegreerd in onze CI/CD-pipeline om aanvallen op onze systemen te simuleren en beveiligingszwaktes te identificeren. Deze tools voeren een reeks tests uit om te controleren op veelvoorkomende kwetsbaarheden, waaronder die vermeld staan in de OWASP Top 10. + +De resultaten van deze tests worden vervolgens gebruikt om onze ontwikkelings- en beveiligingsteams te informeren over mogelijke kwetsbaarheden. Dit proces stelt ons in staat om deze kwetsbaarheden aan te pakken voordat de software wordt ingezet naar productie. + +## Scannen + +Onze CI/CD-pipeline bevat ook geautomatiseerde scannertools die onze broncode, containers en cloud-infrastructuur controleren op beveiligingsproblemen. + +Broncodescanners analyseren onze code om beveiligingszwaktes te vinden, zoals die vermeld staan in de [OWASP](https://owasp.org/) Top 10-lijst van veelvoorkomende beveiligingsrisico's. +Containerscanners inspecteren onze Docker- en andere containerimages op kwetsbaarheden, verkeerde configuraties en naleving van best practices. Dit sluit aan bij onze inzet om te voldoen aan de top tien tips voor containerbeveiliging. +Cloudbeveiligingsscanners zorgen ervoor dat onze cloud-infrastructuur veilig is geconfigureerd, in overeenstemming met het principe van minimale rechten en andere best practices voor cloudbeveiliging. + +## Naleving van de Top Tien Tips voor Containerbeveiliging + +Om een robuuste beveiliging te waarborgen, houden we ons aan de top tien tips voor containerbeveiliging. Hier zijn enkele van de praktijken die we volgen: + +* **Gebruik minimale basisimages:** We nemen alleen de noodzakelijke services en componenten op in onze containerimages om het aanvalsoppervlak te verminderen. +* **Beheer geheimen veilig:** We slaan geen gevoelige informatie zoals wachtwoorden, API-sleutels of geheime tokens op in onze containerimages. In plaats daarvan maken we gebruik van veilige tools voor geheimenbeheer. +* **Gebruik containers met niet-rootrechten:** We laten onze containers draaien als niet-rootgebruikers, waar mogelijk, om de potentiële schade te beperken als een container gecompromitteerd raakt. +* **Regelmatig bijwerken en patchen van containers:** We houden onze containers up-to-date met de nieuwste beveiligingspatches. +* **Scannen van images op kwetsbaarheden:** Zoals hierboven vermeld, maken we gebruik van geautomatiseerde tools om onze containerimages te scannen op bekende kwetsbaarheden. +* **Beperken van het gebruik van systeembronnen:** We maken gebruik van beveiligingsfuncties van container-runtime om de hoeveelheid systeembronnen die een container kan gebruiken, te beperken. +* **Gebruik van netwerksegmentatie:** We isoleren onze containers in afzonderlijke netwerksegmenten om laterale beweging te beperken in geval van een inbreuk. +* **Implementeren van sterke authenticatie- en autorisatiecontroles:** We zorgen ervoor dat alleen geautoriseerde personen toegang hebben tot onze containers en de gegevens daarin. +* **Monitoren en loggen van containeractiviteit:** We verzamelen en analyseren logs van onze containers om verdachte activiteiten te detecteren. +* **Zorgen voor onveranderlijkheid en het onderhouden van een effectieve CI/CD-pipeline:** Onze containers zijn ontworpen om onveranderlijk te zijn, wat betekent dat ze niet worden bijgewerkt of gepatcht zodra ze zijn ingezet. In plaats daarvan worden wijzigingen aangebracht in het containerimage en wordt een nieuwe versie van de container ingezet via onze CI/CD-pipeline. + +Door beveiliging te integreren in ons ontwikkelingsproces streven we ernaar een veilige, betrouwbare omgeving te creëren voor onze software en diensten. + +## Gebruikersauthenticatie + +We implementeren gebruikersauthenticatie via OAuth of Active Directory Federation Services (ADFS). ADFS is een softwarecomponent ontwikkeld door Microsoft die gebruikers voorziet van single sign-on toegang tot systemen en applicaties die zich bevinden over organisatorische grenzen heen. + +Gebruikers authenticeren zich eerst via OAuth/ADFS, die vervolgens een reeks claims produceert die de gebruiker identificeren. Deze claims worden vervolgens gebruikt door de OpenCatalogi-applicatie, die ze gebruikt om te beslissen of de gebruiker toegang en rollen krijgt (zie RBAC). Dit systeem vereenvoudigt het aanmeldingsproces voor gebruikers en maakt veilige authenticatie mogelijk over verschillende systemen en applicaties. + +## Identificatie op basis van Two-Way SSL + +De identificatie in ons gefedereerde netwerk is gebaseerd op Two-Way SSL (Secure Sockets Layer) certificaten, in overeenstemming met het Nederlandse PKI (Public Key Infrastructure) systeem. Deze aanpak zorgt voor een beveiligd en vertrouwd communicatiekanaal tussen de software en de catalogus. + +Het two-way SSL-authenticatiemechamedianisme vereist dat zowel de client als de server elkaars openbare certificaten presenteren en accepteren voordat er communicatie kan plaatsvinden. Dit proces garandeert de identiteit van zowel de client als de server, en zorgt voor een hoog niveau van beveiliging en vertrouwen in de communicatie. + +## Gegevensbeveiligingsniveaus + +Ons systeem behandelt verschillende soorten gegevens, elk met verschillende beveiligingsniveaus: + +* **Openbare gegevens:** Deze gegevens zijn beschikbaar voor alle gebruikers en bevatten geen gevoelige informatie. Hoewel ze openbaar zijn, nemen we nog steeds maatregelen om de integriteit en beschikbaarheid ervan te waarborgen. + +* **Gegevens beschikbaar voor gespecificeerde organisaties:** Sommige gegevens zijn alleen toegankelijk voor bepaalde organisaties. We implementeren strikte toegangscontroles en authenticatiemethoden om ervoor te zorgen dat alleen geautoriseerde organisaties toegang hebben tot deze gegevens. + +* **Gegevens alleen beschikbaar voor de eigen organisatie:** Bepaalde gegevens zijn strikt intern en alleen toegankelijk voor onze organisatie. Deze gegevens zijn beschermd door meerdere beveiligingslagen en kunnen alleen worden geopend door geauthenticeerd en geautoriseerd personeel binnen onze organisatie. + +* **Gebruikersspecifieke gegevens:** Sommige gegevens zijn gepersonaliseerd en alleen beschikbaar voor specifieke gebruikers. Deze gegevens worden beschermd door strikte toegangscontroles en versleuteling. Alleen de specifieke gebruiker en geautoriseerd personeel binnen onze organisatie kunnen toegang krijgen tot deze gegevens. + +* We nemen gegevensbeveiliging zeer serieus en hebben robuuste maatregelen geïmplementeerd om de veiligheid, vertrouwelijkheid, integriteit en beschikbaarheid van alle gegevens in ons systeem te waarborgen. + +## Scheiding van Landingzone, Executionzone en Data + +In onze opstelling maken we gebruik van NGINX- en PHP-containers om een ​​duidelijke scheiding van verantwoordelijkheden te waarborgen tussen internet/netwerktoegang, code-uitvoering en gegevensopslag. Deze ontwerpbenadering bevordert een robuuste beveiliging en verbeterde beheerbaarheid van onze applicaties en diensten. + +* **NGINX-containers als Landing Zone:** De eerste laag van onze architectuur bestaat uit NGINX-containers die dienen als een landing zone. NGINX is populaire open-source software die wordt gebruikt voor webserver, omgekeerde proxy, caching, load balancing en mediaserving, onder andere. In onze context gebruiken we het voornamelijk als een omgekeerde proxy en load balancer. Wanneer een verzoek binnenkomt vanaf het internet, komt het eerst bij de NGINX-container terecht. De rol van deze container is het verwerken van netwerkverkeer vanaf het internet, het uitvoeren van de nodige load balancing en het veilig doorsturen van verzoeken naar de juiste toepassingscontainers. Deze opstelling beschermt onze toepassingscontainers tegen directe blootstelling aan het internet en verbetert onze beveiligingspositie. +* **PHP-containers als Execution Zone:** Nadat een verzoek is doorgestuurd door de NGINX-container, komt het terecht in de juiste PHP-container voor verwerking. Deze containers dienen als onze uitvoeringszone, waar toepassingslogica wordt uitgevoerd. Elke PHP-container draait een exemplaar van onze toepassing. Door de uitvoeringsomgeving op deze manier te isoleren, kunnen we ervoor zorgen dat problemen of kwetsbaarheden binnen één container geen invloed hebben op andere. Deze encapsulatie biedt een aanzienlijk beveiligingsvoordeel en maakt het gemakkelijker om individuele componenten van onze toepassing te beheren en schalen. +* **Gegevensopslag buiten de cluster:** Voor gegevensopslag hanteren we de strategie om gegevens buiten de cluster te bewaren. Deze aanpak scheidt gegevens van de uitvoeringsomgeving en de netwerktoegangslaag, en biedt een extra beveiligingslaag. Gegevens die buiten de cluster zijn opgeslagen, kunnen grondig worden beschermd met specifieke beveiligingscontroles, versleuteling en back-upprocedures, onafhankelijk van de toepassing en netwerklagen. + +Deze driedelige benadering - NGINX-containers voor netwerktoegang, PHP-containers voor code-uitvoering en externe opslag voor gegevens - biedt ons een beveiligde, schaalbare en veerkrachtige architectuur. Het stelt ons in staat potentiële problemen te isoleren en elke laag onafhankelijk te beheren, waardoor onze mogelijkheid om onze diensten te onderhouden en te beveiligen wordt verbeterd.