Nieuws


HPE’s Application Security and DevOps Report 2016:

‘Developers kennen hun security-collega’s niet’

Hewlett Packard Enterprise (HPE) luidt in een nieuw rapport de noodklok over de kloof tussen developers en securityteams. In sommige gevallen gaven developers zelfs aan hun securitycollega’s niet te kennen. Maar liefst negentig procent van de securityprofessionals vindt dat integratie van applicatiebeveiliging lastiger is sinds de inzet van DevOps.

DevOps is een enorme belofte voor de ontwikkeling van veilige software. Dit komt doordat zwakke punten in het systeem vaker en eerder in de applicatielevenscyclus worden gevonden, wat tijd en kosten bespaart.

Volgens het Application Security and DevOps Report 2016 van HPE zijn vrijwel alle respondenten het er dan ook mee eens dat een DevOps-cultuur mogelijkheden biedt om de applicatiebeveiliging te verbeteren. Er heerst echter een aanzienlijk verschil tussen deze perceptie en de realiteit; slechts 20 procent van de ondervraagden test de applicatiebeveiliging al tijdens de ontwikkeling. 17 procent gebruikt zelfs helemaal geen technologie om applicaties te beveiligen.

Meer pijnpunten
Naast de kloof tussen developers en securityteams kwamen in het rapport van HPE nog meer pijnpunten naar boven, zoals een gebrek aan personeel met kennis van applicatiebeveiliging. Uit de enquête blijkt dat voor elke tachtig developers binnen een organisatie, er slechts één securityprofessional is. Het gebrek aan securitypersoneel en de steeds snellere ontwikkelcycli maken veilige development lastig.

Ook wijst HPE erop dat er bij developers te weinig aandacht is voor security en dat een training op het gebied van security vaak ontbreekt. In meer dan honderd vacatures voor softwaredevelopers – uitgezet door bedrijven uit de Fortune 1000 – werd in geen geval specifiek gevraagd naar ervaring en/of kennis in security of veilig coderen.

Aanbevelingen
Het rapport biedt aanbevelingen om bovengenoemde drempels voor veilige applicatieontwikkeling te verminderen, en daarmee security beter te integreren met DevOps-teams:

  • Maak van security een gedeelde verantwoordelijkheid binnen een organisatie. Security moet in iedere fase van het ontwikkelproces ingebed zijn. Dit moet worden uitgedragen door management en moet worden ondersteund met metrics. Deze metrics moeten zich focussen op mean-time-to-triage (MTTT), mean-time-to-fix (MTTF) en programmacompliance.
  • Maak softwareontwikkeling naadloos en intuïtiever voor developers. Als organisaties securitytools integreren in het ontwikkelecosysteem – zoals HPE Fortify Security Assistant – vinden en herstellen developers kwetsbaarheden al tijdens het coderen. Dit maakt het veilig ontwikkelen eenvoudig en efficiënt en bovendien leert de developer veilig coderen in het proces.
  • Maak gebruik van automatisering en analytics. Als organisaties gebruikmaken van automatisering van applicatiebeveiliging met ingebouwde analytics – zoals de machine-learningcapaciteiten van HPE Fortify Scan Analytics – wordt het proces van applicatiebeveiliging automatisch getest. Professionals hoeven zich dan slechts te focussen op de belangrijkste risico’s. Door de automatisering zijn er minder securityproblemen die handmatige review nodig hebben. Dit bespaart tijd en resources, en vermindert tegelijkertijd het risico.

Lees meer over