DevOps & Security – what’s in a name?

Hoe we dingen noemen, is van invloed op hoe we tegen ze aan kijken. William Shakespeare schreef in het toneelstuk Romeo en Julia weliswaar dat een roos ook zoet zou ruiken als we deze bloem een andere naam zouden geven, maar elk bedrijf weet dat de naam van een product het verschil kan maken tussen succes of mislukking. Ook kan een verkeerde aanpak op het gebied van branding enorme financiële gevolgen hebben. Zo moest Kraft-Heinz in februari 2019 15 miljard dollar afschrijven op de waarde van zijn merken door voorrang te geven aan kortetermijn-activatieprojecten in plaats van langetermijn-merkcampagnes.

Wat heeft dit te betekenen voor IT-securityteams? Waarom moeten zij zich bezighouden met de vraag waarom zaken bepaalde namen hebben? Dat is belangrijk omdat naamgeving van invloed is op de manier waar en hoe beveiliging beheerd wordt.

marco rottigni marco rottigni

DevOps en security – onderdeel van het proces of overal in het proces te vinden?

DevOps verandert de manier waarop IT-teams hun activiteiten organiseren. De scheiding tussen ontwikkelaars en operations is opgeheven, zodat wijzigingen beter te stroomlijnen zijn en sneller in productie kunnen gaan. Het is essentieel dat IT-security betrokken wordt bij dit proces.

Dat is nog niet de realiteit. Maar al te vaak komt het security-aspect pas aan het eind van de rit aan de orde. Voor ontwikkelaars staat IT-security niet hoog op de agenda als ze aan een applicatie werken. Volgens het Global Developer Report van GitLap beoordeelt 25 procent van de developers de security bij de eigen organisaties als ‘goed.’ De helft is het erover eens dat kwetsbaarheden het vaakst worden ontdekt als code wordt samengevoegd of in een testomgeving wordt opgenomen.

Het is belangrijk dat securityteams betrokken worden in het ontwikkelproces zodat er veiliger code mogelijk is en er geen kwetsbaarheden opduiken op het moment dat software in productie gaat. Echter, hoe dit in praktijk wordt gebracht kan nogal verschillen en dat is van invloed op de te behalen voordelen.

Hier komt naamgeving om de hoek kijken. Er zijn twee benamingen mogelijk voor het inbedden van security in het ontwikkelproces: DevSecOps en DevOps Security. Ze lijken op elkaar maar ze zijn beslist niet uitwisselbaar. Het maakt dus echt uit welke je kiest.

DevSecOps positioneert de securityfunctie als onderdeel van de gehele softwarepijplijn – security is dus onderdeel van de hele flow van ontwikkeling tot productie. DevOps Security daarentegen positioneert de securityfunctie als een verantwoordelijkheid tijdens het hele proces, van begin tot eind. Beide benaderingen hebben hun eigen voor- en nadelen.

DevSecOps is bijvoorbeeld sneller te implementeren, door de directe integratie met het werk van de ontwikkelaar. Het kan ook zorgen voor snellere toegang tot nieuwe builds voor het checken of deze veilig genoeg zijn voor productie. Op de lange termijn zijn er echter beperkingen. Hoewel het securityteam snel bij ontwikkeling wordt betroken, zitten de leden wel vast voor wat betreft tijd en rol. Ze zijn niet gedurende het hele proces betrokken. Als er bijvoorbeeld iets gebeurt tijdens productie is het lastiger om er dan nog iets aan te doen.

DevOps Security kijkt naar het hele proces en de manier waarop beveiliging is in te bedden in alle stadia van ontwikkeling en productie. Hier zorgen de securityteams ervoor dat ontwikkelaars beschikken over de middelen om software veilig te bouwen als onderdeel van hun workflows. Dat kan gaan om tooling op het gebied van kwetsbaarheden, security scanning of infrastructuur.

Deze laatste aanpak vraagt wel meer van een organisatie. Zo moeten ontwikkelteams hun manier van werken aanpassen. Mar het zorgt er ook voor dat beveiliging op de lange termijn beter wordt ingevuld omdat het hier om een continu proces gaat. Het leeft als onderdeel van het werk ook meer voor de ontwikkelaar, die security minder als een drempel zal zien. Verder bevordert het de samenwerking, wat de kwaliteit van de softwareontwikkeling en ten goede komt.

Bepaal een langetermijnaanpak voor DevOps en security

Kijkend naar DevOps en beveiliging is het noodzakelijk voor ons als beveiligingsprofessionals om de mindset van gebruikers te begrijpen. Dit geldt vooral voor de mindset van ontwikkelaars. Het opsporen van security-issues is uiteindelijk net zo belangrijk als onderdeel zijn van hun workflow en hen al vroeg in hun werk inzichten te bieden. Door het voor ontwikkelaars gemakkelijker te maken problemen te herkennen en op te lossen voordat ze de operationele kant van DevOps raken, kunnen beveiligingsteams meer waarde leveren voor het hele IT-team.

Deze aanpak houdt in dat informatie gedurende het hele proces in handen van ontwikkelaars komt. Het zal weliswaar meer inspanningen vereisen om het goed te doen, maar het levert enorm veel meerwaarde op voor de ontwikkelaars en voor het bedrijf als geheel. Door te kijken naar een DevOps Security-aanpak in plaats van DevSecOps, kunnen beveiligingsteams hun invloed en ervaring in hun voordeel gebruiken. Door zaken de juiste naam te geven, kan beveiliging voor iedereen positiever uitpakken.

Marco Rottigni is Chief Technical Security Officer EMEA bij Qualys

Copyright © 2020 IDG Communications, Inc.