‘Inzet DevOps maakt integratie applicatiebeveiliging lastiger’

90 procent van de securityprofessionals vindt integratie van applicatiebeveiliging lastiger sinds de inzet van DevOps. Het is dan ook van belang dat securityprofessionals en DevOps-teams in organisaties beter worden geïntegreerd.

Dit blijkt uit het Application Security and DevOps Report 2016 van Hewlett Packard Enterprise (HPE). Het rapport onderzoekt de uitdagingen van organisaties tijdens het integreren van security in DevOps en geeft bovendien aanbevelingen om deze programma’s te versterken. Volgens het onderzoek zijn vrijwel alle respondenten het ermee eens dat een DevOps-cultuur mogelijkheden biedt om de applicatiebeveiliging te verbeteren. Er heerst echter een aanzienlijk verschil tussen deze perceptie en de realiteit; slechts 20 procent van de ondervraagden test de applicatiebeveiliging al tijdens de ontwikkeling. 17 procent gebruikt zelfs helemaal geen technologie om applicaties te beveiligen.

‘DevOps kan applicatiebeveiliging verbeteren’
“Uit ons onderzoek blijkt dat zowel securitymanagers als developers geloven dat DevOps de potentie heeft om applicatiebeveiliging sterk te verbeteren, alleen de uitvoering ontbreekt bij veel bedrijven”, aldus Jason Schmitt (@raidschmitt), Vice President en General Manager van HPE Security Fortify bij Hewlett Packard Enterprise. “Door zowel de huidige staat van DevOps als de best practices voor het integreren van security beter te begrijpen, kunnen organisaties hun software beter beveiligen, zonder dat dit ten koste gaat van de snelheid en agility.”

DevOps toont aan een enorme belofte te zijn voor veilige softwareontwikkeling. Dit komt doordat zwakke punten in het systeem vaker en eerder in de applicatielevenscyclus gevonden kunnen worden, wat tijd en kosten bespaart. Het Application Security and DevOps Report 2016 benoemt de grootste drempels die succesvolle integratie van security en DevOps belemmeren:

• Organisatorische drempel tussen securityprofessionals en developers. Er is een duidelijke kloof te zien tussen developers en securityteams; in sommige gevallen gaven respondenten zelfs aan hun securitycollega’s niet te kennen. Maar liefst 90 procent van de securityprofessionals vindt dat integratie van applicatiebeveiliging lastiger is sinds de inzet van DevOps.
• Te weinig bewustzijn, nadruk en training voor security bij developers. In meer dan 100 vacatures voor software developers – uitgezet door bedrijven uit de Fortune 1000 – werd in geen geval specifiek gevraagd naar ervaring en/of kennis in security of veilig coderen.
• Gebrek aan personeel met kennis van applicatiebeveiliging. Uit de enquête blijkt dat voor elke 80 developers binnen een organisatie, er slechts één securityprofessional is. Het gebrek aan securitypersoneel en de steeds snellere ontwikkelcycli maken veilige development lastig.

Security als prioriteit
“Het opnemen van een DevOps-proces kan applicatieontwikkeling veiliger maken. Dit is mogelijk doordat de ontwikkel- en productieomgeving op dezelfde manier is opgebouwd met dezelfde securitystandaarden en -testen”, aldus John Meakin, Group Information Security Officer, Burberry (@Burberry). “Het vergt wel veel toewijding binnen de hele organisatie om security als een prioriteit te zien. Ook vraagt het om meer geautomatiseerde testoplossingen, die het makkelijker maken om real-time feedback te verzamelen en kwetsbaarheden uit het ontwikkelproces te halen.”

Het rapport biedt aanbevelingen om bovengenoemde drempels voor veilige applicatieontwikkeling te verminderen, en daarmee security beter te integreren met DevOps-teams:

• Maak van security een gedeelde verantwoordelijkheid binnen een organisatie. Security moet in iedere fase van het ontwikkelproces ingebed zijn. Dit moet worden uitgedragen door management en moet worden ondersteund met metrics. Deze metrics moeten zich focussen op mean-time-to-triage (MTTT), mean-time-to-fix (MTTF) en programmacompliance.
• Verwijder drempels op gebied van bewustzijn, nadruk en training door veilige ontwikkeling naadloos en intuïtiever te maken voor developers. Als organisaties security tools integreren in het ontwikkelecosysteem – zoals HPE Fortify Security Assistant – vinden en herstellen developers kwetsbaarheden al tijdens het coderen. Dit maakt het veilig ontwikkelen eenvoudig en efficiënt en bovendien leert de developer veilig coderen in het proces.
• Maak gebruik van automatisering en analytics. Als organisaties gebruikmaken van automatisering van applicatiebeveiliging met ingebouwde analytics – zoals de machine learning-capaciteiten van HPE Fortify Scan Analytics – wordt het proces van applicatiebeveiliging automatisch getest. Professionals hoeven zich dan slechts te focussen op de belangrijkste risico’s. Door de automatisering zijn er minder securityproblemen die handmatige review nodig hebben. Dit bespaart tijd en resources, en vermindert tegelijkertijd het risico.

Het recent gelanceerde HPE Fortify Ecosystem zorgt dat organisaties security volledig kunnen integreren in de DevOps tool chain, door developers de mogelijkheid te bieden om applicaties intuïtief te testen en te beveiligen tijdens de software development lifecycle.