Securityprofessionals vinden integratie applicatiebeveiliging lastiger sinds inzet DevOps

Applicatiebeveiliging en DevOps rapport 2016 benadrukt het belang van gelijktrekken security en DevOps


90 procent van de securityprofessionals vindt integratie van applicatiebeveiliging lastiger sinds de inzet van DevOps. Dit blijkt uit het Application Security and DevOps Report 2016, dat Hewlett Packard Enterprise (HPE) vandaag publiceert. Het onderzoek benadrukt dan ook het belang voor betere integratie tussen securityprofessionals en DevOps-teams in organisaties.

Het rapport onderzoekt de uitdagingen van organisaties tijdens het integreren van security in DevOps en geeft bovendien aanbevelingen om deze programma’s te versterken. Volgens het onderzoek zijn vrijwel alle respondenten het ermee eens dat een DevOps-cultuur mogelijkheden biedt om de applicatiebeveiliging te verbeteren. Er heerst echter een aanzienlijk verschil tussen deze perceptie en de realiteit; slechts 20 procent van de ondervraagden test de applicatiebeveiliging al tijdens de ontwikkeling. 17 procent gebruikt zelfs helemaal geen technologie om applicaties te beveiligen.

“Uit ons onderzoek blijkt dat zowel securitymanagers als developers geloven dat DevOps de potentie heeft om applicatiebeveiliging sterk te verbeteren, alleen de uitvoering ontbreekt bij veel bedrijven”, aldus Jason Schmitt (@raidschmitt), Vice President en General Manager van HPE Security Fortify bij Hewlett Packard Enterprise. “Door zowel de huidige staat van DevOps als de best practices voor het integreren van security beter te begrijpen, kunnen organisaties hun software beter beveiligen, zonder dat dit ten koste gaat van de snelheid en agility.”

Drempel tussen DevOps en security
DevOps toont aan een enorme belofte te zijn voor veilige softwareontwikkeling. Dit komt doordat zwakke punten in het systeem vaker en eerder in de applicatielevenscyclus gevonden kunnen worden, wat tijd en kosten bespaart. Het Application Security and DevOps Report 2016 benoemt de grootste drempels die succesvolle integratie van security en DevOps belemmeren:

  • Organisatorische drempel tussen securityprofessionals en developers. Er is een duidelijke kloof te zien tussen developers en securityteams; in sommige gevallen gaven respondenten zelfs aan hun securitycollega’s niet te kennen. Maar liefst 90 procent van de securityprofessionals vindt dat integratie van applicatiebeveiliging lastiger is sinds de inzet van DevOps.
  • Te weinig bewustzijn, nadruk en training voor security bij developers. In meer dan 100 vacatures voor software developers – uitgezet door bedrijven uit de Fortune 1000 – werd in geen geval specifiek gevraagd naar ervaring en/of kennis in security of veilig coderen.
  • Gebrek aan personeel met kennis van applicatiebeveiliging. Uit de enquête blijkt dat voor elke 80 developers binnen een organisatie, er slechts één securityprofessional is. Het gebrek aan securitypersoneel en de steeds snellere ontwikkelcycli maken veilige development lastig.

“Het opnemen van een DevOps-proces kan applicatieontwikkeling veiliger maken. Dit is mogelijk doordat de ontwikkel- en productieomgeving op dezelfde manier is opgebouwd met dezelfde securitystandaarden en -testen”, aldus John Meakin, Group Information Security Officer, Burberry (@Burberry). “Het vergt wel veel toewijding binnen de hele organisatie om security als een prioriteit te zien. Ook vraagt het om meer geautomatiseerde testoplossingen, die het makkelijker maken om real-time feedback te verzamelen en kwetsbaarheden uit het ontwikkelproces te halen.”

Aanbevelingen voor veilige applicatieontwikkeling
Het rapport biedt aanbevelingen om bovengenoemde drempels voor veilige applicatieontwikkeling te verminderen, en daarmee security beter te integreren met DevOps-teams.

  • Maak van security een gedeelde verantwoordelijkheid binnen een organisatie. Security moet in iedere fase van het ontwikkelproces ingebed zijn. Dit moet worden uitgedragen door management en moet worden ondersteund met metrics. Deze metrics moeten zich focussen op mean-time-to-triage (MTTT), mean-time-to-fix (MTTF) en programmacompliance.
  • Verwijder drempels op gebied van bewustzijn, nadruk en training door veilige ontwikkeling naadloos en intuïtiever te maken voor developers. Als organisaties security tools integreren in het ontwikkelecosysteem – zoals HPE Fortify Security Assistant – vinden en herstellen developers kwetsbaarheden al tijdens het coderen. Dit maakt het veilig ontwikkelen eenvoudig en efficiënt en bovendien leert de developer veilig coderen in het proces.
  • Maak gebruik van automatisering en analytics. Als organisaties gebruikmaken van automatisering van applicatiebeveiliging met ingebouwde analytics – zoals de machine learning-capaciteiten van HPE Fortify Scan Analytics – wordt het proces van applicatiebeveiliging automatisch getest. Professionals hoeven zich dan slechts te focussen op de belangrijkste risico’s. Door de automatisering zijn er minder securityproblemen die handmatige review nodig hebben. Dit bespaart tijd en resources, en vermindert tegelijkertijd het risico.

Het recent gelanceerde HPE Fortify Ecosystem zorgt dat organisaties security volledig kunnen integreren in de DevOps tool chain, door developers de mogelijkheid te bieden om applicaties naadloos en intuïtief te testen en te beveiligen tijdens de software development lifecycle.

Nog geen reacties

Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.