Tapio Särkelä

Tapio Särkelä

The author works as a Cyber Sales Lead in Mint Security. Helping software companies to make Secure DevOps.
Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp

Mikä on SecDevOps? Miksi sitä tarvitaan? Ja miten sovelluskehittäjät voivat toteuttaa SecDevOps-käytäntöjä organisaatiossaan?

Mikä on SecDevOps

SecDevOps on lähestymistapa, jossa turvalliset toimintamallit integroidaan DevOps-prosessiin. SecDevOps edistää joustavaa yhteistyötä kehittäjien (Dev), tietoturvan (Sec) ja tuotannon (Ops) -tiimien välillä. SecDevOpsin päätavoitteena on kaventaa ja lopulta sulkea mahdollinen kuilu ohjelmistokehityksen ja tietoturvan välillä ja samalla varmistaa koodin nopea toimitus ja käyttöönotto turvallisesti.

Team workshop

Security Champion voi toimia tietoturvaan liittyvien kysymysten kohteena – tahona jonka vastuulla on ensisijaisesti selvittää ja ottaa koppi vaikkei olisikaan varsinainen tietoturva-asiantuntija. 

Security Championien nimittämisen lisäksi kehittäjät/devajat pitää kouluttaa ymmärtämään ja käytännössä toteuttamaan turvallisia käytäntöjä. Tällaisen koulutuksen on todettu alentavan nopeasti turvallisuuteen liittyviä riskejä.

SecDevOps yhdistää kaksi, ainakin näennäisesti, vastakkaista tavoitetta ”turvallinen koodi” ja ”toimitusnopeus” yhdeksi virtaviivaiseksi prosessiksi. Turvallisuuskäytännöt ikään kuin leivotaan osaksi DevOps-kehityslinjoja. Toisin sanoen SecDevOps on tapa integroida turvallisuuskäytännöt DevOps-prosesseihin. DevOps-strategian on ulotuttava toimintojen ja IT-tiimien ulkopuolelle, ja sen on tehtävä mahdolliseksi tietoturvan integroitu rooli sovellusten elinkaaressa.

Miksi yritysten pitäisi siirtyä SecDevOpsiin?

DevOps-prosessiin siirtyminen muuttaa käyttöönoton tai julkaisun harvoin tehtävästä prosessista toiminnoksi, jonka kehittäjät voivat tehdä vaikka useita kertoja päivässä. Samalla DevOps kuitenkin haastaa perinteiset tietoturvaprosessit uusilla ongelmilla. DevOpsin johdosta perinteiset tietoturvaprosessit jäävät jälkeen, koska ne saattavat luottaa hitaaseen julkaisutahtiin tarkistusten ja vaatimusten noudattamiseksi. Tietoturvaa ei kuitenkaan voida sivuuttaa DevOpsin vuoksi.

SecDevOps tuo turvallisuuskäytännöt kehitysprosessiin varmistamalla, että kehittäjillä on riittävät taidot ja valtuudet saavuttaa turvallisuustavoitteet sen sijaan, että vastuu asetettaisiin erilliseen tietoturvatiimiin.

Kun vastuu tietoturvasta on DevOps-tiimillä, kannustetaan kehittäjiä ottamaan huomioon tietoturvariskejä ohjelmistotoimitusten tarpeiden rinnalla.

Think about Security

 SecDevOps poistaa myös ”yhteisen umpikujan” kehitys- ja turvallisuusryhmien välillä. Aiemmin turvallisuuden rooli oli usein eristetty tiettyyn tiimiin tai rooliin organisaatiossa, mutta nyt on välttämätöntä, että organisaatiot yhdistävät turvallisuuden jaetun vastuun. Tätä varten organisaatioiden on ajateltava sovelluksen ja infrastruktuurin turvallisuutta alusta alkaen ja ymmärrettävä, mitä prosesseja voidaan automatisoida DevOps-toiminnon nopeuden ja ketteryyden parantamiseksi.

SecDevOps-lähestymistapa mahdollistaa, että ohjelmistoyritykset voivat palvella paremmin omia asiakkaitaan sekä kilpailla tehokkaammin ja turvallisemmin markkinoilla tekemällä mahdolliseksi nopeamman sovellusten käyttöönoton. Sisällyttämällä tietoturvatarkastuksia, joita voidaan käyttää samalla tavalla kuin sovellusliittymiä ja mikropalveluita, yritykset voivat siirtyä SecDevOpsiin virtaviivaistaa ja automatisoida kehitysprosessia.

Parhaita käytäntöjä siirtymiseen SecDevOpsiin

Luodaan avoimen yhteistyön ja jatkuvan oppimisen kulttuuri

Tärkeintä DevSecOpsin käynnistämisen yhteydessä on luoda kulttuuri, joka kattaa turvallisen ja laadukkaan tuotteen sekä jaetun vastuun ensisijaisen tärkeänä tekijänä.

Vahvistetaan tiimien autonomiaa

Veracoden havaintojen mukaan menestyneille DevOps -tiimeille on annettu valtuudet määritellä itse omat prosessinsa ja työkalunsa ominen tarpeiden mukaan. Hajautettu päätöksenteko edistää suurempaa vastuuta, mutta tukee innovaatioita.

Security Champion ja investointi turvallisuuskoulutukseen

Kehittäjillä saattaa olla puutteellinen ymmärrys siitä, mitä on varottava. On siis tärkeää nimittää Security Champion tiimeihin.

Käytetään automaatiotyökaluja

Automaatiotyökalujen, kuten Veracode, avulla voidaan hallita turvallisuustehtäviä, jotta turvallisuustiimit voivat keskittyä tärkeimpiin kohteisiin, kuten puitteiden määrittelyyn ja kehitysprosessiin.

Kehittämisen kulttuuri voi olla yksi sovelluksen suorituskyvyn ja käyttäjäkokemuksen tärkeimmistä mittareista. Sovelluskehityksessä luottamus ja yhteistyö kehityksen ja tietoturvan välillä on ensisarvoisen tärkeää. Kehittäjien tietoturvan osaamisen nostaminen ja siihen käytetyt panostukset palautuu myöhemmin takaisin korkoineen.

Työkalut, jotka luovat ja suorittavat automaattisesti turvallisuustestejä CI / CD-prosessissa, helpottavat SecDevOpsin toteuttamista valtavasti. Automaatio on kaiken a ja o.

Putsi in a secdevops hackathon

SecDevOps Hackathon

SecDevOps Hackathon SecDevOps Hackathon lyhyesti Hackathon on päivän mittainen intensiivinen hyppäys sovelluskehityksen tietoturvallisuuteen. Päivän aikana

Lue lisää »

Lähteet

veracode.com

4 Ways to Build a DevSecOps Culture

4 Ways to Build a DevSecOps Culture

At the center of a successful DevOps initiative is a simple but often overlooked concept.
Lue blogi

cmswire.com

What You Need to Know About DevSecOps

What You Need to Know About DevSecOps

DevSecOps adopts a philosophy of integrating security practices within the DevOps process.
Lue blogi
Tapio Särkelä

Tapio Särkelä

The author works as a Cyber Sales Lead in Mint Security. Helping software companies to make Secure DevOps.
Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp

ota yhteyttä

Pyydä rohkeasti lisätietoa. Vastaamme todennäköisesti nopeammin kuin osasit kuvitella.