• Miten sovelluskehittäjät voivat toteuttaa SecDevOps-käytäntöjä organisaatiossaan
Tapio Särkelä

Tapio Särkelä

Helping software companies to make Secure DevOps.

Mikä on DevSecOps? Miksi sitä tarvitaan? Ja miten sovelluskehittäjät voivat toteuttaa DevSecOps-käytäntöjä organisaatiossaan?

Mikä on DevSecOps

DevSecOps on lähestymistapa, jossa turvalliset toimintamallit integroidaan DevOps-prosessiin. DevSecOps edistää joustavaa yhteistyötä kehittäjien (Dev), tietoturvan (Sec) ja tuotannon (Ops) -tiimien välillä. DevSecOpsin päätavoitteena on kaventaa ja lopulta sulkea mahdollinen kuilu ohjelmistokehityksen ja tietoturvan välillä ja samalla varmistaa koodin nopea toimitus ja käyttöönotto turvallisesti.

Team workshop

Security Champion voi toimia tietoturvaan liittyvien kysymysten kohteena. Tahona, jonka vastuulla on ensisijaisesti selvittää ja ottaa koppi vaikkei olisikaan varsinainen tietoturva-asiantuntija. 

Security Championien nimittämisen lisäksi kehittäjät/devaajat pitää kouluttaa ymmärtämään ja käytännössä toteuttamaan turvallisia käytäntöjä. Tällaisen koulutuksen on todettu alentavan nopeasti turvallisuuteen liittyviä riskejä.

DevSecOps yhdistää kaksi, ainakin näennäisesti, vastakkaista tavoitetta ”turvallinen koodi” ja ”toimitusnopeus” yhdeksi virtaviivaiseksi prosessiksi. Turvallisuuskäytännöt ikään kuin leivotaan osaksi DevOps-kehityslinjoja. Toisin sanoen DevSecOps on tapa integroida turvallisuuskäytännöt DevOps-prosesseihin. DevOps-strategian on ulotuttava toimintojen ja IT-tiimien ulkopuolelle, ja sen on tehtävä mahdolliseksi tietoturvan integroitu rooli sovellusten elinkaaressa.

Miksi yritysten pitäisi siirtyä DevSecOpsiin?

DevOps-prosessiin siirtyminen muuttaa käyttöönoton tai julkaisun harvoin tehtävästä prosessista toiminnoksi, jonka kehittäjät voivat tehdä vaikka useita kertoja päivässä. Samalla DevOps kuitenkin haastaa perinteiset tietoturvaprosessit uusilla ongelmilla. DevOpsin johdosta perinteiset tietoturvaprosessit jäävät jälkeen, koska ne saattavat luottaa hitaaseen julkaisutahtiin tarkistusten ja vaatimusten noudattamiseksi. Tietoturvaa ei kuitenkaan voida sivuuttaa DevOpsin vuoksi.

DevSecOps tuo turvallisuuskäytännöt kehitysprosessiin varmistamalla, että kehittäjillä on riittävät taidot ja valtuudet saavuttaa turvallisuustavoitteet sen sijaan, että vastuu asetettaisiin erilliseen tietoturvatiimiin.

Kun vastuu tietoturvasta on DevOps-tiimillä, kannustetaan kehittäjiä ottamaan huomioon tietoturvariskejä ohjelmistotoimitusten tarpeiden rinnalla.

Think about Security

 DevSecOps poistaa myös ”yhteisen umpikujan” kehitys- ja turvallisuusryhmien välillä. Aiemmin turvallisuuden rooli oli usein eristetty tiettyyn tiimiin tai rooliin organisaatiossa, mutta nyt on välttämätöntä, että organisaatiot yhdistävät turvallisuuden jaetun vastuun. Tätä varten organisaatioiden on ajateltava sovelluksen ja infrastruktuurin turvallisuutta alusta alkaen ja ymmärrettävä, mitä prosesseja voidaan automatisoida DevOps-toiminnon nopeuden ja ketteryyden parantamiseksi.

DevSecOps-lähestymistapa mahdollistaa, että ohjelmistoyritykset voivat palvella paremmin omia asiakkaitaan sekä kilpailla tehokkaammin ja turvallisemmin markkinoilla tekemällä mahdolliseksi nopeamman sovellusten käyttöönoton. Sisällyttämällä tietoturvatarkastuksia, joita voidaan käyttää samalla tavalla kuin sovellusliittymiä ja mikropalveluita, yritykset voivat siirtyä DevSecOpsiin ja virtaviivaistaa ja automatisoida kehitysprosessia.

Parhaita käytäntöjä siirtymiseen DevSecOpsiin

Luodaan avoimen yhteistyön ja jatkuvan oppimisen kulttuuri

Tärkeintä DevSecOpsin käynnistämisen yhteydessä on luoda kulttuuri, joka kattaa turvallisen ja laadukkaan tuotteen sekä jaetun vastuun ensisijaisen tärkeänä tekijänä.

Vahvistetaan tiimien autonomiaa

Veracoden havaintojen mukaan menestyneille DevOps -tiimeille on annettu valtuudet määritellä itse omat prosessinsa ja työkalunsa ominen tarpeiden mukaan. Hajautettu päätöksenteko edistää suurempaa vastuuta, mutta tukee innovaatioita.

Security Champion ja investointi turvallisuuskoulutukseen

Kehittäjillä saattaa olla puutteellinen ymmärrys siitä, mitä on varottava. On siis tärkeää nimittää Security Champion tiimeihin.

Käytetään automaatiotyökaluja

Automaatiotyökalujen, kuten Veracode, avulla voidaan hallita turvallisuustehtäviä, jotta turvallisuustiimit voivat keskittyä tärkeimpiin kohteisiin, kuten puitteiden määrittelyyn ja kehitysprosessiin.

Kehittämisen kulttuuri voi olla yksi sovelluksen suorituskyvyn ja käyttäjäkokemuksen tärkeimmistä mittareista. Sovelluskehityksessä luottamus ja yhteistyö kehityksen ja tietoturvan välillä on ensisarvoisen tärkeää. Kehittäjien tietoturvan osaamisen nostaminen ja siihen käytetyt panostukset palautuu myöhemmin takaisin korkoineen.

Työkalut, jotka luovat ja suorittavat automaattisesti turvallisuustestejä CI / CD-prosessissa, helpottavat DevSecOpsin toteuttamista valtavasti. Automaatio on kaiken a ja o.

Putsi in a secdevops hackathon

SecDevOps Hackathon

DevSecOps Hackathon DevSecOps Hackathon lyhyesti Hackathon on päivän mittainen intensiivinen hyppäys sovelluskehityksen tietoturvallisuuteen. Päivän aikana

Lue lisää »

Lähteet

veracode.com

4 Ways to Build a DevSecOps Culture

4 Ways to Build a DevSecOps Culture

At the center of a successful DevOps initiative is a simple but often overlooked concept.
Lue blogi

cmswire.com

What You Need to Know About DevSecOps

What You Need to Know About DevSecOps

DevSecOps adopts a philosophy of integrating security practices within the DevOps process.
Lue blogi
Tapio Särkelä

Tapio Särkelä

Helping software companies to make Secure DevOps.

ota yhteyttä

Pyydä rohkeasti lisätietoa. Vastaamme todennäköisesti nopeammin kuin osasit kuvitella.