Securityprofessional vindt DevOps lastig

codering

90 procent van de securityprofessionals vindt de integratie van applicatiebeveiliging lastiger sinds de inzet van DevOps. Dit blijkt uit het 'Application Security and DevOps'-rapport van HPE. Het onderzoek benadrukt dan ook het belang voor betere integratie tussen securityprofessionals en DevOps-teams in organisaties.

Volgens het onderzoek zijn vrijwel alle respondenten het ermee eens dat een DevOps-cultuur mogelijkheden biedt om de applicatiebeveiliging te verbeteren. Er heerst echter een aanzienlijk verschil tussen deze perceptie en de realiteit; slechts 20 procent van de ondervraagden test de applicatiebeveiliging al tijdens de ontwikkeling. 17 procent gebruikt zelfs helemaal geen technologie om applicaties te beveiligen.

Drempel tussen DevOps en security

DevOps toont aan een enorme belofte te zijn voor veilige softwareontwikkeling. Dit komt doordat zwakke punten in het systeem vaker en eerder in de applicatielevenscyclus gevonden kunnen worden, wat tijd en kosten bespaart. Het Application Security and DevOps Report 2016 benoemt de grootste drempels die succesvolle integratie van security en DevOps belemmeren:

  • Organisatorische drempel tussen securityprofessionals en developers. Er is een duidelijke kloof te zien tussen developers en securityteams; in sommige gevallen gaven respondenten zelfs aan hun securitycollega’s niet te kennen. Maar liefst 90 procent van de securityprofessionals vindt dat integratie van applicatiebeveiliging lastiger is sinds de inzet van DevOps.
  • Te weinig bewustzijn, nadruk en training voor security bij developers. In meer dan honderd vacatures voor software developers – uitgezet door bedrijven uit de Fortune 1000 – werd in geen geval specifiek gevraagd naar ervaring en/of kennis in security of veilig coderen.
  • Gebrek aan personeel met kennis van applicatiebeveiliging. Uit de enquête blijkt dat voor elke tachtig developers binnen een organisatie, er slechts één securityprofessional is. Het gebrek aan securitypersoneel en de steeds snellere ontwikkelcycli maken veilige development lastig.

Aanbevelingen voor veilige applicatieontwikkeling

Het rapport biedt aanbevelingen om bovengenoemde drempels voor veilige applicatieontwikkeling te verminderen, en daarmee security beter te integreren met DevOps-teams.

  • Maak van security een gedeelde verantwoordelijkheid binnen een organisatie. Security moet in iedere fase van het ontwikkelproces ingebed zijn. Dit moet worden uitgedragen door management en moet worden ondersteund met metrics. Deze metrics moeten zich focussen op mean-time-to-triage (MTTT), mean-time-to-fix (MTTF) en programmacompliance.
  • Verwijder drempels op gebied van bewustzijn, nadruk en training door veilige ontwikkeling naadloos en intuïtiever te maken voor developers. Als organisaties security tools integreren in het ontwikkelecosysteem – zoals HPE Fortify Security Assistant – vinden en herstellen developers kwetsbaarheden al tijdens het coderen. Dit maakt het veilig ontwikkelen eenvoudig en efficiënt en bovendien leert de developer veilig coderen in het proces.
  • Maak gebruik van automatisering en analytics. Als organisaties gebruikmaken van automatisering van applicatiebeveiliging met ingebouwde analytics – zoals de machine learning-capaciteiten van HPE Fortify Scan Analytics – wordt het proces van applicatiebeveiliging automatisch getest. Professionals hoeven zich dan slechts te focussen op de belangrijkste risico’s. Door de automatisering zijn er minder securityproblemen die handmatige review nodig hebben. Dit bespaart tijd en resources, en vermindert tegelijkertijd het risico.
x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2016-10-27T14:59:00.000Z Kevin Stickens
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.