Het op elkaar afstemmen van het beveiligingsproces en Devops-proces biedt uitgelezen kansen om organisaties die willen innoveren een boost te geven. Deze organisaties zouden verder kunnen kijken dan de traditionele it-tools die automatisering en functie-overschrijdende samenwerking in de weg zitten.
Processen voor het opsporen en verhelpen van security kwetsbaarheden zouden hand in hand moeten gaan met de agile Devops-processen die worden gebruikt voor de ontwikkeling en aanlevering van de software. Maar het is lastig om binnen een Devops-omgeving voor een soepel beveiligingsproces te zorgen als er geen sprake is van een goede samenwerking tussen de twee processen en tools die gebruikt worden.
Focus
De focus van Devops-teams lag tot dusver hoofdzakelijk op automatisering. Die is nodig om continue workflows te creëren die de slagkracht van het innovatieteam of de softwarefabriek vergroten. Diverse startups en gevestigde leveranciers hebben nieuwe oplossingen ontwikkeld om in deze behoefte te voorzien. Maar helaas zijn deze tools gericht op specifieke onderdelen van de workflow, zoals tickets, het volgen van de status van problemen en de continue integratie. Vanwege deze fragmentatie zijn er api’s en interfaces nodig om alle onderdelen te verbinden met een Devops-toolketen, zodat er ondersteuning kan worden geboden voor de volledige software development life cycle (sdlc).
De integratie van deze nieuwe beveiligingstools met een reeds complexe keten van Devops-tools resulteert in een complex web van user interfaces en losstaande workflows, om nog maar niet te spreken van disconnected data. De commerciële focus van veel leveranciers van security-oplossingen maakt het nog complexer: velen hebben hun productaanbod uitgebreid door de overname van andere leveranciers en bieden de verworven technologieën nog altijd als losstaand of dashboardproduct aan. Een groot aantal van deze beveiligingsoplossingen moet nog altijd de belofte inlossen om de effectiviteit van programma’s voor Devops-beveiliging te verbeteren. Het resultaat is een breed aanbod van diverse beveiligingsoplossingen die de effectiviteit van het Devops-beveiligingsprogramma nog niet realiseert.
Praktisch alternatief
Bedrijven die onder druk staan om sneller te innoveren hebben een praktisch alternatief nodig voor de wirwar van tools voor beveiliging- en Devops-tools. Maar is beveiliging wel een discipline die eenzelfde iteratieve aanpak kan volgen als het development proces?
Het gelijktrekken van security en Devops vraagt om tests van de applicatiebeveiliging. Dit proces wordt Devsecops genoemd en kan worden geïntegreerd met de workflow van developers en continuous integration (ci). Bij deze aanpak worden bij elke code-commit automatisch beveiligingsscans uitgevoerd om de gewijzigde code op kwetsbaarheden te controleren. Elke wijziging wordt beoordeeld, en het resultaat wordt aan de developer teruggekoppeld via de bestaande workflows. Developers hoeven zo niet langer te wachten op een monolitische beveiligingstest aan het einde van het proces. Ze kunnen eenvoudig de impact van hun eigen veranderingen zien, zonder te worden gehinderd door kwetsbaarheden die door collega’s zijn geïntroduceerd.
Deze duidelijke en iteratieve beveiligingsscans dragen ook bij aan effectievere tijdbesteding. De experts in applicatiebeveiliging zullen veel minder beveiligingslekken aantreffen. Op die manier zullen ze nauwelijks nog bezig zijn met het op prioriteit indelen van kwetsbaarheden. De meeste daarvan zullen immers al door de developers zijn gespot en verholpen.
Op gelijk niveau
Door af te stappen van losstaande tools ontstaat er samenwerking tussen het development- en beveiligingsteam. Elk team analyseert dezelfde gegevens in de voor hen relevante context. Fixes voor kwetsbaarheden komen daarmee op gelijk niveau te staan als bug fixes, omdat ze niet langer worden gehinderd door gefragmenteerde systemen.
Deze aanpak biedt verstrekkende voordelen:
● Het scannen van de applicatiebeveiliging wordt iteratief, net als het development-proces;
● Kwetsbaarheden komen aan het licht op het moment dat ze worden geïntroduceerd;
● De verantwoordelijkheden zijn duidelijk: wie de kwetsbaarheid introduceerde en waar, met een duidelijke indicatie van oorzaak en gevolg;
● Ontwikkelaars hoeven minder werk te doen om kwetsbaarheden te verhelpen, zonder dat ze van context hoeven te switchen;
● Automatisering kan bijdragen aan het verhelpen van problemen door kwetsbare code libraries te vervangen door veiliger patches terwijl de code nog steeds in handen van de developer is;
● Er is minder inspanning vereist qua bewaking en testen, met alle voordelen van dien voor de productiviteit van zowel de developers als beveiligingsprofessionals.
Opschalen
Het verbeteren van de efficiëntie is een uiterst effectieve manier om een programma voor applicatiebeveiliging op te schalen en meer applicaties binnen de Devops-portefeuille op kwetsbaarheden te inspecteren. Dit vraagt wel om de nodige aanpassingen. Het team van developers zal de juiste mensen moeten aantrekken en voor de juiste processen moeten zorgen. Een praktisch uitgangspunt is om gebruik te maken van een tool die ondersteuning biedt voor deze nieuwe beveiligingsprocessen.
Het gebruik van één applicatie voor de complete Devops-levenscyclus maakt het mogelijk om de applicatiebeveiliging te testen op een manier die in het continuous integration-proces is ingebouwd. Met deze nieuwe aanpak kunnen application security testing-programma’s bijdragen aan het verhelpen van kwetsbaarheden tijdens de ontwikkeling. Op die manier komen beveiligingslekken niet pas in de preproductiefase aan het licht. Want integrale scanprocessen kunnen duizenden kwetsbaarheden aan het licht brengen, maar ook problemen opleveren. Zo bestaat de mogelijkheid dat het beveiligingsteam moeite heeft met het op prioriteit indelen van de herstelwerkzaamheden en dat het development-team gedemotiveerd raakt door de hoeveelheid werk dat opnieuw moet worden verricht.
Bedrijven kunnen de beveiligings- en Devops-procesen op elkaar afstemmen en hun innovatie-vermogen een boost geven door verder te kijken dan het web van complexe tools die functie-overstijgende samenwerking, automatisering en inzicht in de weg zitten.
Cindy Blake, CISSP & security evangelist bij Gitlab
