Beveiliging moet tijdens de ontwikkelingscyclus geïntegreerd worden (security by design). Echter is er nog steeds sprake van frictie tussen het development- en security-team. Zo vindt bijna de helft van de beveiligingsprofessionals (49 procent) het lastig om ontwikkelaars ertoe te bewegen om prioriteit te geven aan het verhelpen van kwetsbaarheden.
Dat blijkt uit de Global Developer Survey van ontwikkelplatform GitLab. Hiervoor zijn ruim vierduizend softwareprofessionals wereldwijd ondervraagd om de volledige levenscyclus van softwareontwikkeling in kaart te brengen. Dit onderzoek biedt naar eigen zeggen inzicht in de bedrijfscultuur, workflows, tools van organisaties en operationele teams en security-teams.
Security-teams met een effectief DevOps-proces maken drie keer meer kans maken om bugs te vinden voordat code wordt samengevoegd. Verder voeren zij succesvollere testen uit dan de teams waarbij DevOps nog in de kinderschoenen staat.
Sid Sijbrandij, ceo en medeoprichter van GitLab. ‘De belangrijkste conclusie van dit onderzoek is dat organisaties die in een vroegtijdig stadium krachtige DevOps-praktijken hebben toegepast, merken dat de beveiliging hierdoor is verbeterd en het eenvoudiger is om te innoveren. Desondanks blijft er sprake van struikelblokken die development- en security-teams ervan weerhouden om werkelijke DevSecOps te realiseren. Teams hebben behoefte aan één oplossing die inzicht biedt in beide aspecten van het proces, zodat het ontwikkelingsproces kan worden gestroomlijnd.’
Workflow
Daarnaast concluderen de onderzoekers dat teams met een volwassen DevOps-model ‘forse verbeteringen’ realiseren in hun workflow. Zij hebben anderhalf keer vaker het gevoel innovatief bezig te zijn. Ontwikkelaars bij organisaties met ‘onvolwassen’ DevOps-modellen hebben daarentegen het gevoel dat hun processen hen in de weg zitten. Zo hebben ze 2,5 keer meer kans op vertraging tijdens de planningsfase en is de kans 2,6 keer groter dat ze te maken krijgen met bureaucratie die het verhelpen van kwetsbaarheden vertraagt.
Tot slot maakt een juiste DevOps-aanpak continuous delivery mogelijk. Hierbij worden on demand-implementaties worden gedaan. Bijna de helft van alle ontwikkelaars paste het principe van continuous deployment toe binnen minimaal één onderdeel van hun organisatie. 41 procent zegt dat implementaties tussen de één keer per dag en één keer per maand plaatsvinden.
Beveiliging bij systeemontwikkeling is al decennia een probleem. Een probleem dat zijn oorzaak vindt bij de ‘Opdrachtgever’. ‘Security by Design & Default’ en ‘Privacy by Design & Default’ hebben inmiddels hun intrede gedaan. Niet dat de Opdrachtgever zich daarvan al teveel lijkt aan te trekken. Persoonlijke accountability ontbreekt immers, waardoor het probleem wordt bestendigd.
Het is dan ook slechts een afgeleid probleem voor development- en security-teams. Deze teams dienen door inschakeling van ciso en fg het probleem terug te leggen bij deprojectmanager en de opdrachtgever. De eerste stap daarvan is het door de development- en security-teams melden van beveiligings- en privacy-risks als zijnde projectrisico’s en business risks.
Kwestie van ‘de pijn leggen waar hij thuis hoort’.
De conclusie uit de titel wordt eigenlijk onderuit gehaald door een van de laatste zinnen: “…Ontwikkelaars bij organisaties met ‘onvolwassen’ DevOps-modellen hebben daarentegen het gevoel dat hun processen hen in de weg zitten. Zo hebben ze 2,5 keer meer kans op vertraging tijdens de planningsfase en is de kans 2,6 keer groter dat ze te maken krijgen met bureaucratie die het verhelpen van kwetsbaarheden vertraagt…”
Het zijn niet per se de ontwikkelaars die laks zijn, het is in het onderhavige geval de organisatie die achterloopt. Ik zie het vaak dat organisaties de kanteling naar DevOps als een ‘it-only feestje’ zien en zelf nog fijn op de waterval manier blijven acteren.
Bovenstaand artikel is basically een pleidooi voor DevOps, onder een laagje security.
Nu zal DevOps best veel goeds te bieden hebben, mits conscientieus toegepast, maar it’s the men that count, not the method.
Als mensen zorgvuldig omgaan waar ze meer bezig zijn, kan er veel bereikt worden. Ook bij oudere manieren van werken.
DevOps is vaak een facade voor het inzetten van ondoordachte, matig gestructureerde, en slecht voorbereide veranderingsprocessen. Security is zeker belangrijk, maar DevOps zal niet altijd de oplossing daarvoor zijn.
@CPT : het zijn juist niet de ontwikkelaars die laks zijn. Integendeel, zij worden gedwongen hun werk te leveren binnen de beperkingen die project en organisatie hen stellen.
Alles wordt al snel tot ‘IT-feestje’ verklaard. En zodra de projectmanager een voddige niet-geaccordeerde projectopdracht heeft gekregen is het zijn probleem geworden.
Mijn betoog is nu juist om opnieuw het generieke probleem aan de orde te stellen. Met daarbij de ‘oplossing’ waarmee de development- en security-teams van hun bevoegdheden gebruik kunnen/moeten maken binnen de disfunctionerende bureaucratie van project en organisatie.
Architecten, CISO en FG hebben hun eigen verantwoordelijkheden, en daarmee bevoegdheden, om mistanden bij voorbaat uit de weg te ruimen.
Kwestie van verantwoordelijkheden en bevoegdheden kénnen en némen.
Devops alleen zal dit probleem niet oplossen. Je zult er zorg voor moeten dragen dat er binnen de ontwikkelomgeving (of dat nu CI/CD, Devops of waterval is) mensen zijn die de tijd en ruimte krijgen om hier aandacht aan te besteden.
Je kunt dan wel continu bouwen, integreren en/of deployen, maar als in je keten geen securitytesten opgenomen zijn dan gaat Devops je niet helpen.
Anderzijds zijn er vandaag de dag wel meer en meer geautomatiseerde testen mogelijk, welke vaak heel goed te integreren zijn in een CI/CD of Devops pijplijn. Maar deze testen zijn in principe ook te gebruiken in een waterval model, dus vandaar dat Devops in het artikel iets te veel lof wordt toebedeeld (althans, in mijn ogen)
Bij veel ICT projecten kan je de vergelijking maken dat je eerst een huis bouwt en dan pas sloten op de (buiten)deuren en ramen gaat zetten om deze veilig te maken tegen inbrekers. Of er wordt een hele muur om dat huis heen gebouwd met een deur.
he ja, DevSecOps en security by design. Zal uiteindelijk wel security goldplating worden genoemd door BusDevOps met hun minimum viable products. Dus continous improved de security fixes pas in de sprint opnemen als de exploits zich aandienen. Beter nog, dwars door je time boxed sprint heen. Agile toch. Of je het nou die sprint uitvoert of adhoc als de business het ineens nodig vindt.. Staand in kringetje met de product owner of zittend in meeting met manager.. 41% zus, 2.6 meer kans op zo..
Op weg naar de gestroomlijnde volwassen ontwikkelingsprocessen. Samen met de scrumcoach 😛