De meeste IT’ers zijn vast al bekend met het samenwerkingskader van DevOps en het doel achter dit framework: het stimuleren van een continue, soepele samenwerking en communicatie tussen het team van softwareontwikkelaars (Dev) en het team van operationele IT’ers (Ops).
DevOps heeft meerdere voordelen:
- Applicaties worden sneller geleverd
- Er is meer automatisering mogelijk
- Problemen worden sneller opgelost
- De bestuursomgeving van de app is stabieler
- Gericht op innovatie en ontwikkeling
- Beter inzicht in de systeemresultaten
DevOps zorgt er dus voor dat veel processen efficiënter en over het algemeen beter verlopen, maar met één belangrijk aspect houdt dit framework geen rekening: de beveiliging. En dat terwijl een goede security vandaag de dag essentieel is voor een continue, goede werking van de applicatie en infrastructuur. Gelukkig is er een oplossing, de illustere opvolger van DevOps: DevSecOps.
DevSecOps is ontwikkeld met als hoofddoel het veiligheidsgat, ook wel Security Gap genoemd, tussen het softwareontwikkelingsproces (Dev) en het leveringsproces (Ops) te dichten. Lees hieronder wat het precieze verschil tussen de twee frameworks is, wat de voordelen van DevSecOps zijn en hoe je met DecSecOps kunt starten.
Verschil tussen DevOps en DevSecOps
DevOps richt zich op de samenwerking tussen het ontwikkelingsteam en operationele team gedurende het ontwikkelings- en implementatieproces. De teams werken samen om de gedeelde KPI’s en tools te implementeren. Het doel van dit framework is om de frequentie van implementaties te verhogen en tegelijkertijd de voorspelbaarheid en efficiëntie van een applicatie te waarborgen.
Een DevOps-ontwikkelaar denkt bijvoorbeeld aan hoe hij updates voor een applicatie zo efficiënt mogelijk kan implementeren met minimale verstoring van de gebruikerservaring. Door veel aandacht te besteden aan het optimaliseren van de leveringssnelheid, geven DevOps-teams niet altijd prioriteit aan het voorkomen van beveiligingsbedreigingen, wat kan leiden tot het ontstaan van kwetsbaarheden die de werking van de applicatie en de gegevens van de gebruiker in gevaar brengen.
DevSecOps is de opvolger van DevOps. Dit framework is ontwikkeld nadat DevOps-teams zich begonnen te realiseren dat er in dit samenwerkingsverband niet goed rekening werd gehouden met de potentiële beveiligingsproblemen.
In plaats van de beveiliging achteraf in te bouwen, werd DevSecOps ontwikkeld. Dit framework heeft als doel om het beveiligingsbeheer al tijdens het ontwikkelingsproces (Dev) te integreren en niet pas tijdens of na het leveringsproces (Ops). Dankzij DevSecOps staat de beveiliging van de applicatie centraal en streeft de ontwikkelaar er altijd naar om de app zo goed mogelijk te beveiligen tegen potentiële cyberaanvallen voordat de applicatie aan de gebruiker wordt geleverd. Ook moet hij ervoor zorgen dat de beveiliging van de app up-to-date is door middel van periodieke beveiligingsupdates.
De voordelen van DevSecOps
Een goede cybersecurity wordt steeds belangrijker, helemaal nu de cyberaanvallen jaarlijks toenemen. Zelfs grote bedrijven die vroeger nog goed beschermd waren, zijn steeds vaker het doelwit van een cyberaanval. Daarom stappen veel organisaties over op DevSecOps, het framework dat de beveiliging al vanaf het begin van de ontwikkeling van een app centraal stelt. De voordelen hiervan zijn onder andere:
- De leveringssnelheid ligt hoger en de kosten lager
- Transparantie en openheid liggen ten grondslag aan de ontwikkeling
- Het risico op kwetsbaarheden van de applicatie is minimaal
- Nieuwe ontwikkelingen op het gebied van cybersecurity kunnen snel geimplementeerd worden
- Beveiliginsproblemen worden snel opgelost
- De algehele beveiliging is beter
- Er is meer automatisering van de cybersecurity mogelijk
Hoe start ik met DevSecOps?
Nu we weten wat de begrippen DevOps en DevSecOps precies betekenen en we de voordelen van DevSecOps op een rijtje hebben gezet, is het tijd om misschien wel de belangrijkste vraag te beantwoorden: hoe start ik met DevSecOps?
Stap 1: breng je securityl andschap in kaart
Om goed te kunnen beginnen met DevSecOps is het eerst belangrijk om inzicht te krijgen in je securitylandschap. Maak je al gebruik van diverse tools voor de beveiliging van je applicaties en andere IT omgevingen? Werkt dit voldoende? Wat werkt al naar behoren en wat kan er nog zeker verbeterd worden?
Stap 2: start een proefperiode
Het is verstandig om een proefperiode te starten, waarin je begint te experimenteren met de methodologie van DevSecOps. Laat eerst één team, dat bij voorkeur al kennis heeft met de DevOps-werkwijze, kennismaken met DevSecOps. Na een succesvolle pilot heb je als het goed is genoeg inzichten gekregen in de werking van de DevSecOps-filosofie en kun je deze werkwijze op de andere afdelingen introduceren.
Stap 3: leid je softwareontwikkelaars op
Het is nu tijd om je medewerkers actief te trainen. Na de opleiding van je teams weet iedereen de kwetsbaarheden in het beveiligingssysteem en de (potentiële) veiligheidsproblemen snel te herkennen. Natuurlijk leren ze tijdens de trainingen ook hoe ze DevSecOps gericht kunnen toepassen om de problemen op te lossen en in de toekomst te voorkomen.
Stap 4: begin met de integratie van diverse beveiligingstools
Hoe goed je je medewerkers ook traint in de DevSecOps-denkwijze, zonder het gebruik van de juiste Application Security Testing (AST)-tools wordt de integratie van DevSecOps geen succes. Overweeg dus om minstent één van de vier onderstaande tools te integreren:
- Statische applicatiebeveiligingstests (SAST)
- Analyse van softwaresamenstelling (SCA)
- Interactieve applicatiebeveiligingstests (IAST)
- Dynamische applicatiebeveiligingstests (DAST)
