Wat is DevSecOps en wat zijn de voordelen?

Noelle van Sprang
·
24/09/2021

De ontwikkelaars onder ons kennen het doel van en de filosofie achter DevOps inmiddels wel: het samenwerken van ontwikkeling en operations om de time-to-market van een applicatie te verkorten en de klanttevredenheid te verbeteren. Maar vaak is er binnen DevOps-omgevingen nog wel een ‘veiligheidsgat’ tussen ontwikkeling en operations. Lees snel verder over de oplossing: DevSecOps.

Veiligheid is een aandachtspunt dat bij veel DevOps-implementaties pas aan het eind van het ontwikkeltraject uitgebreid aan bod komt. Het gevolg? Vertraagde releases die de grootste voordelen van de DevOps-methode deels teniet doen. Bovendien belandt het thema security vaak exclusief op het bordje van de veiligheidsexperts, terwijl het eigenlijk de gedeelde verantwoordelijkheid zou moeten zijn van iedereen die meewerkt aan het bouwen en onderhouden van software en IT-omgevingen.

DevSecOps dicht het veiligheidsgat tussen development en operations. Maar wat is DevSecOps precies? Wat zijn de belangrijkste voordelen? En waar moet je beginnen als je gebruik wilt maken van deze werkwijze? Kom er in deze blog achter!

Wat is DevSecOps?

DevSecOps is een natuurlijke voortzetting en uitbreiding van het DevOps-gedachtegoed. Het is dus meer een evolutionaire dan een revolutionaire stap. Het belangrijkste doel van DevSecOps? Organisaties in staat stellen om consequent veilige software te leveren op de inmiddels vertrouwde DevOps-snelheid.

Natuurlijk drijft DevSecOps deels op een divers scala aan tools en technologieën. Maar in de kern is het toch vooral een filosofie, een mindset die alle betrokkenen dwingt om security te behandelen als een integraal thema dat terugkomt in alle fasen van het DevOps-traject.

microsoft training

Wat zijn de voordelen?

DevSecOps toepassen heeft diverse praktische en technische voordelen. Denk bijvoorbeeld aan de onderstaande voorbeelden.

Verbeterde kwaliteit en veiligheid

Ten eerste identificeer je met DevSecOps kwetsbaarheden in de code en het ontwerp van een applicatie al in een vroeg stadium van het softwareontwikkelingsproces. Je plant behoeften op het gebied van infrastructuur met handige frameworks voor security-oplossingen en containers, zodat ze aansluiten op de configuratie en structuur die je in gedachten hebt. Je bouwt veiligheidsoplossingen niet pas achteraf in, maar krijgt er gedurende het hele ontwikkeltraject mee te maken

Snellere oplevering

Omdat je kwetsbaarheden in een eerder stadium identificeert, helpt DevSecOps ook bij het sneller opleveren van software en applicaties. Beveiliging is voortaan een integraal onderdeel van de pijplijn. Ontwikkelaars kunnen zelf geautomatiseerde standaardchecks uitvoeren en zo al ontwikkelend veiligheidskwesties aanpakken.

Gedeelde verantwoordelijkheid

Zeg maar dag tegen de beschuldigende vingertjes als er een keer iets misgaat op het vlak van security. Omdat security bij DevSecOps wordt ingebakken in het ontwikkelproces, liggen het eigenaarschap van en de verantwoordelijkheid voor het veiligheidsgedeelte bij iedereen die bij DevOps is betrokken. Veiligheid wordt zo een continu proces dat niet van de gemeenschappelijke radar verdwijnt.

Kosten- en tijdsbesparing

Tot slot zorgt DevSecOps voor kosten- en tijdsbesparing, vooral omdat je bugs en kwetsbaarheden al voor en tijdens de implementatie ontdekt. Je vermindert de risico’s en operationele kosten, aangezien je niet achteraf nog allerlei beveiligingsmaatregelen hoeft te wijzigen.

Hoe start je met DevSecOps?

Maar hoe maak je een geoliede start met DevSecOps? Waar moet je beginnen als je de voordelen ervan optimaal wilt benutten? Een kort stappenplan.

  1. Breng je securitylandschap in beeld

    Begin met een kritische evaluatie van je securitylandschap. Welke tools en welke beleidsmaatregelen gebruik je al om je ontwikkelomgeving en operationele omgeving te beveiligen? Is dat voldoende? Wat werkt wel en wat niet? Identificeer vooral de gebieden waar de veiligheid niet optimaal aansluit op de behoeften van je business.

  2. Start met een pilot

    Klein beginnen geeft je de kans om uitgebreid te experimenteren met de DevSecOps-filosofie. Rol de werkwijze eerst op bescheiden schaal uit binnen een team dat al eens te maken heeft gehad met veiligheidsissues tijdens het DevOps-proces. Op basis van de inzichten uit de pilot kun je DevSecOps introduceren op andere afdelingen en binnen meer bedrijfsonderdelen.

  3. Maak je personeel wegwijs
    Bevalt de pilot? En besluit je om definitief en organisatiebreed aan de slag te gaan met DevSecOps? Neem je medewerkers dan actief mee in de reis. Dankzij gerichte trainingen leren medewerkers veiligheidsproblemen sneller herkennen en weten ze hoe ze DevSecOps gericht kunnen gebruiken voor het tackelen van veiligheidsincidenten.
  4. Gebruik de juiste tools

    DevSecOps wordt alleen een succes met de juiste tooling. Een goed voorbeeld is ‘agile threat modeling’, een manier om veiligheidsvereisten al in kaart te brengen voordat je begint met coderen. Ook geautomatiseerde scantechnieken brengen uitkomst, bijvoorbeeld door te controleren of software kwetsbare versies van opensourcebibliotheken of onveilige componenten van derden bevat.

DevSecOps ontdekken met trainingen van Master IT

Dit artikel is vooral een inleiding in de grondbeginselen en belangrijke voordelen van DevSecOps. Wil je dieper in de materie duiken en alles leren over deze waardevolle visie op IT-veiligheid binnen DevOps? Volg dan een van de trainingen van Master IT.

De training ‘Microsoft Azure DevOps Solutions’ leert je bijvoorbeeld alles wat je moet weten over het ontwerpen en implementeren van DevOps-processen. De tweedaagse training ‘DevOps Fundamentals DASA training + examen’ biedt een uitgebreide introductie in agile DevOps-principes. De cursus behandelt vooral de essentiële competenties die zijn gedefinieerd door de DevOps Agile Skills Association (DASA). DevOps-principes, best practices en het DevOps-vocabulaire: je maakt er uitgebreid kennis mee in deze training.

Meer weten? Neem gerust contact met ons op door te bellen naar 06 30 74 45 03/040 23 23 390 of te mailen naar info@master-it.nl. Je kunt ook het contactformulier op onze website invullen.

Bij Master IT leer je alleen wat je echt nodig hebt.
Certificeringen Trainingen
Beste lesmethode
Kleine klassen
Flexibel inplannen
Leer wat jij nodig hebt
Gerelateerde trainingen