Hoe je continue beveiliging inbouwt in applicatieontwikkeling

  1. 23 mrt 2018
  2. 0 reacties
Chantal-'t-Gilde---Qualys

Chantal ’t Gilde, Managing Director, Benelux & Nordics bij Qualys

Software is inmiddels de kern van elk essentieel bedrijfsproces. Organisaties moeten dus beveiliging inbouwen in hun applicatieontwikkelingspipeline om data-inbreuken te voorkomen, compliance te garanderen en initiatieven op het gebied van digitale transformatie te beschermen. Dit geldt voornamelijk voor organisaties die snel en doorlopend applicaties creëren en implementeren aan de hand van DevOps. Bij zo’n aanpak voegen ontwikkel- en uitvoeringsteams flexibiliteit en efficiëntie toe aan softwarelifecycles met automation-tools, vooraf ingebouwde code van derde partijen en continue samenwerking.

Onderdeel van het DNA

DevOps vervangt de traditionele, lineaire ‘waterval’-methode, waarbij elk team in silo’s werkt met minimale communicatie en coördinatie. Dat resulteert vaak in lange softwarelifecycles en onveilige code met veel bugs. Maar DevOps mag applicatieontwikkeling en -levering dan wel sneller en flexibeler maken, het kan juist averechts werken als security pas achteraf of zelfs helemaal niet wordt meegenomen. Daarom moeten securityprofessionals, -processen en -tools nauw betrokken worden bij DevOps, waardoor DevSecOps ontstaat. Beveiliging integreren in DevOps-pipelines biedt InfoSec-teams dé kans om bij de business aan tafel te komen en partner te worden bij initiatieven op het gebied van digitale transformatie. Op deze manier wordt security echt onderdeel van het DNA van IT.

Belangrijk

Waarom is DevSecOps nu zo belangrijk? DevOps is al jaren een populaire aanpak voor de ontwikkeling en implementatie van moderne software, zoals web- en mobiele apps – de voornaamste dragers van digitale transformatie. Als projecten op dit gebied effectief worden geïmplementeerd, kan dat resulteren in een hogere omzet, meer winst, lagere kosten, een groter marktaandeel en een steviger positie ten opzichte van de concurrentie. Niet zo gek dus, dat 80 procent van de managers in Azië-Pacific in een onderzoek van Microsoft zei dat digitale transformatie een must is om zijn organisatie te laten groeien. Maar wat was de grootste drempel die ze hierbij noemden? Cyberdreigingen en zorgen over security. Dit is dus waar de expertise van InfoSec-teams om de hoek komt kijken.

Met de juiste DevSecOps-processen en -tools genereert en implementeert een organisatie veel veiligere code, doorlopend en in korte iteraties. Deze stukken code worden automatisch – vóór deployment – gescand op kwetsbaarheden, verkeerde configuraties en andere problemen. DevSecOps levert dus apps op met aanzienlijk minder bugs, kwetsbaarheden en verkeerde configuraties. En minstens net zo belangrijk: software is regelmatig te updaten waar nodig om in te spelen op veranderende markttrends.

Starten met DevSecOps

Hoe maak je nu een begin met DevSecOps? Enkele praktische tips om meteen mee te starten.

  • Evalueer hoe geschikt je bestaande securitytools zijn voor DevOps

Misschien heb je al tientallen InfoSec-tools, maar welke zijn geschikt voor DevOps? Bekijk daarbij bijvoorbeeld welke er open API’s hebben, zodat je ze kunt integreren met de tools die ontwikkelaars en uitvoeringsmedewerkers zelf gebruiken. En beschikken ze over self-service UI’s waar je je ontwikkelaars toegang toe kunt geven? Hoeveel ondersteunen er Docker-containers?

  • Ga na welke ontwikkelteams binnen je organisatie open staan voor security

Is er vanuit de board weinig enthousiasme voor DevSecOps, kijk dan welke ontwikkelteams er wel toe bereid zijn security te integreren in hun DevOps-proces. Zo behaal je quick wins en wordt de waarde van DevSecOps ook snel duidelijk voor andere betrokkenen.

  • Zet kleine stappen met low-profile projecten

Als DevSecOps in jouw organisatie nog niet door de board gedragen wordt, is het raadzaam om te beginnen met een intern, eenvoudig – en dus veilig – project. Richt je pijlen niet meteen op een groot project waarbij er voor de organisatie veel op het spel staat.