Development, security en operations. Dat zijn de onderdelen van devsecops. En daar komt het hele proces van aanleveren en uitrollen van applicaties nog bij. Maar wat betekent devsecops voor een organisatie en zijn it? En waar staat het concept in België?
Devsecops is een methodiek waarbij beveiliging in het devops-proces wordt geïnjecteerd om zo een structurele veilige basis te vormen voor de code en toepassingen die binnen een organisatie worden ontworpen. ‘Ontwikkelaars zijn in de basis geen security engineers’, vat Edwin Weijdema, global technologist bij Veeam Software, het samen. Door beveiliging aan de methodiek toe te voegen creëer je bewustwording en noodzaak rond beveiliging én veilige(re) code. ‘De beveiligingsvereisten en het beveiligingsbeleid zijn hierbij vooraf bepaald’, stelt hij.
Opnieuw fixen
Security vormt dus best een integraal onderdeel van de ontwikkelcycle, wat betere en veiligere software moet bewerkstelligen, maar ook meer efficiëntie. ‘Te vaak hebben we projecten gezien die bij oplevering vertraging ondervonden vanwege broncodes die kwetsbaarheden bevatten en – om deze te fixen – opnieuw de ontwikkelingscyclus moesten doorlopen’, oppert Mike Remmerswaal, director systems engineering, Noord-Europa bij Palo Alto Networks.
Centraal bij devsecops staat ook de zogenaamde shift left-aanpak: waarbij het testen vroeger in de ontwikkelfase wordt ingebouwd en bijvoorbeeld in iedere bouwfase alle bron–software controleren op zwakheden in het ontwerp.
Wet van Conway
Maar devsecops is meer dan shift left. De voorwaarden of aandachtspunten om devsecops in een organisatie te gebruiken ligt ook en vooral bij de wil om, tussen diverse profielen, samen te werken. En dat is een kwestie van mentaliteit, mindset en cultuur. ‘In veel gevallen moeten er vooral silo’s afgebroken worden. Iedereen moet ondergedompeld worden in security’, stelt Bob Dubois, opensource- & transformation-evangelist bij Red Hat. Hij verwijst hier naar de befaamde wet van Conway, die stelt dat de applicatiearchitectuur van een organisatie een weerspiegeling is van de samenwerking in die organisatie. Bij devsecops moeten, volgens Dubois, applicaties anders geschreven worden. ‘Ook al pas je shift left toe, je zult geen successen boeken als je in silo’s blijft werken. Teams moeten opnieuw georganiseerd worden en iedereen moet zijn verantwoordelijkheid nemen, van development tot management.’
Eveneens een goede basis voor devsecops is een doordachte aanpak. ‘Denk onder meer aan een bibliotheek van veel gebruikte code die al van tevoren is beoordeeld, getest en goedgekeurd, raadt Edwin Weijdema van Veeam aan. ‘Hierdoor kunnen ontwikkelaars een vertrouwde bronbibliotheek gebruiken. Dit zorgt ervoor dat het aantal potentiële kwetsbaarheden veel lager wordt wanneer je het eindproduct test en in gebruik neemt’, stelt hij. ‘Een devsecops-model is gebaseerd op personen, processen en technologie. Om het goed toe te passen en te laten accepteren door de ontwikkelaars, moet je de huidige werkstromen en de nieuwe beveiligingscontroles op elkaar afstemmen en processen zoveel mogelijk automatiseren.’
En in België?
Of devsecops al ingeburgerd is binnen Belgische organisaties? ‘De adoptiegraad van deze relatief nieuwe methodiek gaat snel maar is nog niet te zien als gemeenschappelijk goed’, stelt Weijdema vast. ‘Er is geen noemenswaardig verschil tussen de adoptiegraad in België vergeleken met de rest van de wereld.’
Het hangt sterk af van bedrijf tot bedrijf, oordeelt Jochen Gyssels, director AIS Europe, SSU Manager ITSM Belgium bij CTG. Bij vele bedrijven die bezig zijn met softwareontwikkeling is het concept van devsecops, volgens hem, vaak wel bekend. ‘Maar betekent dat niet altijd dat men ook effectief de juiste principes en doelstellingen ervan kent.’
Toch blijkt een groot deel van de bedrijven wel degelijk de eerste stappen te zetten om hun teams te transformeren naar devsecops-teams. ‘Veel van hen experimenteren met devsecops-teams voor bepaalde applicaties en hebben wel degelijk al ci/cd pipelines (continuous integration & continuous deployment) uitgebouwd met een hoge vorm van automatisatie’, vervolgt Gyssels. Al lopen ze volgens, hem soms, nog tegen de muur aan – omdat devsecops absoluut ook discipline, de juiste mindset bij de betrokken personen en kennis van zaken vereist.
Verder zijn er ook bedrijven die al vergevorderde stadia van devsecops bereikt hebben, vult Gyssels aan. ‘Vaak vinden we ze hoofdzakelijk nog terug bij start- of scale-ups, minder bij grote bedrijven. Toch zijn er zeker al een aantal grotere bedrijven die met succes sterke devsecops-teams uitgebouwd hebben. Het maakt hen absoluut sterker en competitiever in hun markt.’
