Skip to main content
Blog DevSecOps

DevSecOps: de hypeterm die er geen mag zijn

Als DevOps ontwikkeling en IT-operaties combineert, dan introduceert DevSecOps een driehoeksverhouding waarin ook beveiliging een belangrijke rol speelt. Een goede zaak, maar de hype niet waardig. DevSecOps klinkt als een nieuw doel om naar te streven: de illustere opvolger van DevOps. Maar als beveiliging serieus nemen een nieuw en hip doel is, waar zijn DevOps-teams vandaag dan mee bezig?

1. Silo’s afbreken

Achteraf gezien klinkt het logisch: de ontwikkelaars die een toepassing bouwen laten kennismaken met de IT’ers die de app in productie onderhouden. Toch was (en is) DevOps een revolutionaire manier van werken. Bedrijven in het algemeen en IT specifiek werken historisch nu eenmaal graag in silo’s. Eén departement ontwikkelt, het ander rolt uit en beheert. Simpel op papier, een recept voor misverstanden en inefficiëntie in de praktijk. De twee samenvoegen tot DevOps was een spectaculair goed idee.

Wat moeten we dan van DevSecOps denken? In de praktijk is IT-beveiliging ook vandaag nog vaak een afzonderlijke silo. DevOps bouwt, IT-security zorgt ervoor dat hackers niet via een achterpoort in de nieuwe app aan de haal gaan met de klantengegevens van het hele bedrijf. Maar hoe dan? We weten allemaal dat perimeterbeveiliging intussen zijn eigen zaal in het Museum der IT verdient. De hele IT-infrastructuur van een onderneming moet doorspekt zijn van beveiliging.

2. Geïntegreerde beveiliging

Om het anders te zeggen: wanneer je een toepassing bouwt met een loginportaal, dan zorg je er toch voor dat dat portaal in kwestie geen gatenkaas is? Ontwikkelaars richten zich vaak een snelle en efficiënte vertaling van businesslogica naar een functionele toepassing. In de praktijk is beveiliging zelden meer dan een terloopse bedenking, zeker geen prioriteit.

Dat is een DevOps-probleem. Je kan niet aan continuous integration en continuous delivery doen zonder de nodige beveiligingschecks. Zitten die niet in de DevOps-workflow, dan verliest DevOps heel wat momentum. Het aanvankelijke idee was om die vervelende silo’s weg te werken. Blijft security een silo, dan heeft DevOps zijn doel niet bereikt.

3. Naar het pleonasme

Een wagen heeft airbags, riemen en ABS. Een auto met die functies noemen we gewoon auto en niet ‘veilige auto’. Zo moet het ook bij DevOps zijn. Security moet een deel uitmaken van de DevOps-workflow, zodat de term DevSecOps een pleonasme wordt.

Daar kan je in de praktijk mee aan de slag. Als ontwikkelaar helpt het om de vinger aan de pols te houden wat beveiligingstrends betreft, maar belangrijker is de juiste mindset. Beveiliging moet prioritair mee in de CI/CD-pipeline zitten. Bouw met beveiliging in het achterhoofd. Hou daarbij rekening met veranderende beveiligingsnoden en aanpasbaarheid, zodat je essentiële beveiligingselementen vlot kan vernieuwen wanneer die vraag komt. Test niet alleen op functionaliteit en stabiliteit maar meteen ook op veiligheid, met dezelfde prioriteit. Rol vervolgens een toepassing uit die even veilig als nuttig is.

Vergeet niet dat er vandaag tools bestaan die je kunnen helpen om mee een oogje in het zeil te houden. Na de uitrol van de nieuwe code kan je via automatische scans controleren of er geen nieuwe gekende kwetsbaarheden in de toepassing zitten, zodat je die meteen kan aanpassen. Voor containers is de opensourcetool Clair een mooi voorbeeld.

Je mag dus gerust de neus ophalen naar DevSecOps als hype. Niet omdat het een slecht idee is, wel omdat een goede ontwikkelaar ook in een DevOps-context al lang met beveiliging bezig is.

Leave a Reply