Are Web Components & Cybersecurity A Better Combo?

I'm not trying to dunk on popular #UI #frameworks – I'm sure they're totally fine for #cybersecurity stuff, probably get loads of reviews and #audits.

But from my angle: Web Components are *native* to the #browser. Doesn't that just inherently reduce the risk of **#SupplyChainAttacks** (you know, like a rogue `npm install` on a bad network) for your #AppSecurity?

Or am I overthinking it, and the #framework choice is less important than the #browser, #OS, or #device running it? What are your thoughts, #DevCommunity?

---

Quick context: I've got a #ReactJS #messagingApp (repo here: https://github.com/positive-intentions/chat) and a separate #UIFramework (repo here: https://github.com/positive-intentions/dim) built with #Lit (which uses Web Components). I'm genuinely wondering if there's a compelling #cybersecurity reason to refactor the chat app to use my #WebComponent UI framework. Might be a whole new level of #SecurityByDesign for #FrontEndDev.

FYI, same question's on Reddit here: https://www.reddit.com/r/ExperiencedDevs/comments/1lmk1rg/are_web_components_better_for_cybersecurity/, got some good #insights, but want to make sure nothing's getting overlooked! Let's discuss #InfoSec #WebDev #JavaScript #OpenSource #TechQuestion.

Threat Modeling hilft, Risiken früh zu erkennen – bevor sie zum Problem werden. Frag dich im Design: Was kann schiefgehen? Wer könnte angreifen? So entsteht Software, die nicht nur funktioniert, sondern schützt.

Basierend auf: "Threat Modeling" von Adam Shostack.
#SecurityByDesign #ThreatModeling

ICYMI: “Every TWINSCAN EUV ships with ~45 million lines of code […] Bugfixes and features start out as *word documents* sent to a series of review boards…”
https://alecmuffett.com/article/113264
#SecurityByDesign #SoftwareEngineering #bugs

ICYMI: “Every TWINSCAN EUV ships with ~45 million lines of code […] Bugfixes and features start out as *word documents* sent to a series of review boards…”

Remember, kids: all this security nightmare can be fixed through the simple act of regulators demanding that security be implemented “by design”.

Or not. Because “security by design” doesn’t mean anything.

These are the machines which fabricate all the world’s major CPUs:

https://twitter.com/lauriewired/status/1915162540868596081

#bugs #securityByDesign #softwareEngineering

*Last Call*

I have a #PhD position for UK students, available with myself and @bentnib

This project will be looking at developing new methods for asserting the resilience of existing communicating systems by developing new static analysis methods derived from advanced programming language research.

*Hard Deadline*: Wednesday 16th April 2025

You will belong to @StrathCyber and @mspstrath, as well as gaining access to @spli

https://www.strath.ac.uk/studywithus/postgraduateresearchphdopportunities/science/computerinformationsciences/towardstype-drivenassuranceofcommunicatingsystems/

(Ignore the deadline on the advert)

Please spread the words.

#dependentTypes #formalMethods #idris #programmingLanguageTheory #typeTheory #idris2 #computerSecurity #cybersecurity #securityByDesign #secureByDesign

I have a funded #PhD position for UK students, available with myself and @bentnib

This project will be looking at developing new methods for asserting the resilience of existing communicating systems by developing new static analysis methods derived from advanced programming language research.

Deadline: Thursday 20th March 2025

You will belong to @StrathCyber and @mspstrath, as well as gaining access to @spli

For now more details about the project are on my personal website.

https://tyde.systems/page/position/2025-jarss/

Please spread the words.

#dependentTypes #formalMethods #idris #programmingLanguageTheory #typeTheory #idris2 #computerSecurity #cybersecurity #securityByDesign #secureByDesign

Building security into software from the ground up isn't just smart; it's essential.

#SecurityByDesign saves headaches down the line.

#DevSecOps

Es kommt auf Hersteller und Entwickler an, um die Cyberesilienz in Deutschland und Europa zu stärken. Als BSI unterstützen wir euch in Sachen #CyberResilienceAct. Weitere Infos zum #CRA liefert euch der aktuelle Lagebericht zur IT-Sicherheit in Deutschland:➡️ https://bsi.bund.de/Lagebericht sowie unsere Webseite ➡️ https://www.bsi.bund.de/dok/CRA, die auch zu den Handreichungen führt.

#LageKennenResilienzStärken #CybernationDeutschland #CRA #SecurityByDesign #SecurityByDefault

Wir waren Teil der 5G.NRW-Jahreskonferenz. 🙌 Hier kamen Expertinnen und Experten aus Forschung, Wirtschaft und Politik zusammen, um über Chancen und Herausforderungen von #5G und #6G zu diskutieren.

Unsere Präsidentin Claudia Plattner legte in ihrer Keynote einen klaren Fokus auf #Cybersecurity, Resilienz und Souveränität: Wir brauchen dringend #SecuritybyDesign – nur so können wir eine zukunftsfähige und vertrauenswürdige digitale Infrastruktur schaffen, die uns allen nachhaltig dient.

Another good @lawfare entry in the #SecuritybyDesign series: https://www.lawfaremedia.org/article/privacy-by-design--lessons-for--security-by-design

⚠️ #EuGoingDark – 🇪🇺's clandestine #surveillance plan is about to be finalized:

15 Nov.: final meeting
27 Nov.: presentation of final report

→ @andre_meister has a new document: https://chaos.social/@andre_meister/113361602775442149

Overview of the plan: https://www.patrick-breyer.de/en/posts/going-dark-expert-group-eus-surveillance-forge/
🚫 #DataRetention
🚫 " #SecurityByDesign "
🚫 access to devices
🚫 undermining #encryption #e2ee

#FreedomNotFear #FnF #privacy

EU-Rat bringt #CyberResilienceAct auf den Weg | heise online https://www.heise.de/news/EU-Rat-bringt-Cyber-Resilience-Act-auf-den-Weg-9977103.html #SecurityByDesign #CRA

Je vous rassure aussi : #SecurityByDesign, cette interface web est en read-only sur les données. Même mieux : elle n’a juste pas accès DU TOUT aux backups. C’est la machine de backup qui lui pousse les infos après chaque backup. Et la machine de backup n’est pas sur le réseau public du coup.

Mich wundert https://www.heise.de/news/Studie-Technik-geraet-zunehmend-in-den-Fokus-von-Verschwoerungstheorien-9818483.html überhaupt nicht. Solange Firmen nicht Klartext reden und a) #SecuritybyDesign nutzen und b) deutlich machen _welche_ Daten sie zu _welchem_ Zweck sammeln und diese Behauptung dann nachweisbar ist (alles andere ist FUD und Versprechen wurden oft genug gebrochen) ist es klar, das Menschen der Technologie misstrauen.

I learned about secure software development on the job, but like ethical computing (which I've talked about before), this should also be included in formal education. Because of the current threat models, topics like security by design and zero-trust frameworks are critical when developing Internet systems. https://www.linuxfoundation.org/press/linux-foundation-and-openssf-release-report-on-the-state-of-education-in-secure-software-development

#securitybydesign #security #softwaredevelopment #zerotrust #infosec #cybersecurity #education

@ReginaMuehlich

Super, dass #TeamDatenschutz auf die #EuGoingDark-Gruppe aufmerksam wird!

Der 42-Punkte-Plan der Gruppe betrifft neben der #Vorratsdatenspeicherung u. a. auch die Umgehung von Verschlüsselung – verschlagwortet unter dem #PrivacyByDesign-Gegenläufer #SecurityByDesign sowie Tech-Standards. Ich sehe viele Konflikte mit #DSGVO-Prinzipien, wie der #Datensparsamkeit. #DSB-Bewertungen dazu wäre sehr hilfreich!

#Datenschutz

Is het misschien toch niet zo'n slecht idee om een computer te gebruiken met een OS dat veilig is vanuit het ontwerp, zoals open source #Linux? Dan is beveiligings-software niet eens nodig 🤔 #crowdstrikefalcon #MSWindowsServers #Microsoftcloud #SecurityByDesign

Termintipp: #CRA - welche grundlegenden Anforderungen müssen Produkte mit digitalen Elementen für den Cyber Resilience Act erfüllen? Unser Experte Steven Arzt gibt einen Überblick in der #LunchLecture am 3.7. von 12 - 12.30 Uhr.
Für Hersteller, Produktentwickler und alle, die sich für den Cyber Resilience Act interessieren.

Hier geht es zur kostenfreien Anmeldung 👉 https://www.athene-center.de/aktuelles/veranstaltungen/lunch-lectures-zum-cra-mindest-sicherheits-anforde-1763
#SecurityByDesign #CRA #LunchLecture

Apple weiß echt wie man Privacy und Security by Design mit Benutzerfreundlichkeir und Design verbinden kann

https://www.youtube.com/watch?v=SfPIduzMUlM

Ich frag mich wieso bei KI andere Firmen so ein Mist bauen? (rhetorische Frage)

#ki #AI #apple #appleintelligence #microsoft #microsoftcopilot #recall #microsoft_recall #datenschutz #datensicherheit #privacy #privacybydesign #securitybydesign

#Microsoft: Sicherheit oberste Priorität in Produkten, Diensten und intern | heise online https://www.heise.de/news/Microsoft-CEO-Nadella-Macht-im-Zweifel-mehr-Security-9708577.html #SecurityByDesign #SecurityByDefault #SecureOperations