Wat is DevSecOps en waarom is dit ook voor jouw organisatie noodzaak?

Veel bedrijven zijn inmiddels overgestapt op een agile werkwijze, waarbij met korte sprints wordt gewerkt. Opvallend is dat securitytests vaak pas aan het einde van de sprint plaatsvinden, wat uitdagingen met zich meebrengt. Introduceert een nieuwe functionaliteit bijvoorbeeld beveiligingsprobleem? Dan komt dit pas in een laat stadium naar voren. Het oplossen van het probleem kost hierdoor onnodig veel tijd.

DevSecOps voorkomt dit. Bij DevSecOps is security – net als operations – direct vanaf de start een integraal onderdeel van het developmentproces. Het doel is het naadloos integreren van security in je continuous integration & continuous delivery (CI/CD) pipeline.

Bij DevOps werken ontwikkelaars en het IT-operations team als één team met elkaar samen. Ontwikkel- en beheeractiviteiten zijn nauw geïntegreerd, wat belangrijke voordelen biedt. Zo kunnen ontwikkelaars sneller toegevoegde waarde leveren en zorgt continue terugkoppeling tussen de verschillende vakgebieden voor een beter eindresultaat.

Hier komt bij DevSecOps een derde partij bij: het securityteam. Net als operations is security gedurende het volledige ontwikkelproces nauw betrokken. Het securityteam kijkt en denkt actief mee, en kan zo vroegtijdig eventuele beveiligingsproblemen aankaarten. DevSecOps maakt security dan ook een integraal onderdeel van het ontwikkelproces.

Automatisering speelt daarnaast een belangrijke rol. Je integreert security in de CI/CD-pipeline en voert geautomatiseerde beveiligingscontroles uit in iedere fase. Vaak zijn deze fasen plannen, coderen, build & test, implementeren, en beheer en monitoren.

DevSecOps is niet alleen belangrijk, maar voor veel bedrijven noodzaak. Zo zijn ontwikkelaars zeer schaars, waardoor het optimaliseren van hun productiviteit cruciaal wordt. Doordat security-specialisten gedurende het volledige ontwikkelproces meedenken voorkom je dat ontwikkelaars onbedoeld beveiligingsproblemen introduceren. Dit voorkomt dan ook dubbel werk en verhoogt daarmee de efficiëntie van ontwikkelaars.

Ook voorkomt DevSecOps dat securitytests een bottleneck vormen in het ontwikkelproces. Traditioneel vinden securitytests aan het einde van een sprint plaats, waardoor deze tot vertraging kunnen leiden. Het integreren van security in de CI/CD-pipeline zorgt dat geautomatiseerde tests in de diverse fasen van de pipeline plaatsvinden. Zo spoor je zwakke plekken in de beveiliging eerder op en voorkom je bottlenecks aan het einde van sprints.

Cybercriminelen schakelen razendsnel en ze buiten een zero-day kwetsbaarheid zo snel mogelijk uit om securityspecialisten te snel af te zijn. Met DevSecOps integreer je security in de volledige levenscyclus van een applicatie. Dat betekent ook dat je applicaties in een productieomgeving continu blijft testen. Zo spoor je nieuwe kwetsbaarheden in je applicaties sneller op en kun je dreigingen sneller mitigeren.

DevSecOps vraagt om een cultuurverandering. De aanpak onderdeel maken van je cultuur brengt echter uitdagingen met zich mee. Zo vraagt DevSecOps om een andere manier van denken, waarbij alle betrokken partijen security continu nauwlettend in het oog houden. Dit kan betekenen dat je je bestaande DevOps-teams (deels) moet bijscholen. Bijvoorbeeld over security best practices en het gebruik van bepaalde securitytools.

Denk echter ook aan het selecteren van de juiste tools die aansluiten op jouw organisatie. Het gaat daarbij om de behoeften en wensen van jouw DevSecOps-team, maar ook om je bestaande CI/CD-pipeline en de tools die je hierin gebruikt.

Enkele kenmerken van een sterk DevSecOps-programma zijn:

Kenmerkend voor DevOps is een gedeelde verantwoordelijkheid voor alle betrokken partijen. Dat is bij DevSecOps niet anders; niet alleen securityspecialisten maar ook ontwikkelaars en het operations-team moeten op de hoogte zijn van de basisregels van security. In iedere DevSecOps-cultuur moet dan ook diep geïntegreerd zijn dat security een gedeelde verantwoordelijkheid is.

Kwetsbaarheden kunnen in alle onderdelen van je applicatie en onderliggende infrastructuur voorkomen. Het is daarom van belang dat de securitytools die je inzet een breed bereik hebben en alle aspecten van je omgeving omvatten. Denk hierbij aan containers en Kubernetes, maar ook aan de (cloud)infrastructuur waarop je vertrouwt. Maak je gebruik van Infrastructure as Code (IaC), waarbij je alle configuraties voor infrastructuur vastlegt in code? Dan moeten je DevSecOps-tools ook hiervoor geschikt zijn.

Bij DevSecOps integreer je security in je CI/CD-pipeline. In deze pipeline voeren DevOps-teams al diverse geautomatiseerde tests uit. Ook securitytests voer je bij grote voorkeur geautomatiseerd uit in iedere fase van de CI/CD-pipeline. Zo ontstaat er geen vertraging in het ontwikkelproces en heb je continu een actueel beeld van de veiligheid van je applicatie.

Een belangrijk voordeel van DevSecOps is dat security al vroegtijdig in het ontwikkelproces de aandacht krijgt die het verdient. Dat betekent echter niet dat zodra de applicatie in een productieomgeving is uitgerold, je hiernaar geen omkijken meer hebt. DevSecOps moet ook de productieomgevingen omvatten. Zo kunnen in iedere applicatie ondanks eerdere security-scans nieuwe kwetsbaarheden opduiken. Ook kan je productieomgeving applicaties van derden bevatten (bv Log4j). Aangezien deze applicaties niet door je ontwikkelstraat gaan, doorlopen zij niet de geautomatiseerde securitytests die hiervan onderdeel uitmaken. Dit maakt het continu blijven testen van bestaande applicaties van cruciaal belang.

Benieuw hoe de experts van True je in dit proces kunnen ondersteunen? Meer informatie vind je hier.