Wordt Application Security taak van developer?
Developers bewegen zich in een constant veranderende wereld waarin ontwikkelingen steeds sneller op elkaar volgen. Applicatiebeveiliging moet mee ontwikkelen om ook binnen deze moderne developmentomgeving te functioneren. In dit artikel bespreken we de actuele trends en de manier waarop Application Security verandert.
Pandemie versnelt digitale transformatie
Veel bedrijven zijn het afgelopen jaar versneld naar de cloud gegaan. Het toenemende aantal mensen dat vanuit huis ging werken, zorgde ervoor dat developers meer cloud-native deployments ontwikkelden. AppSec teams moesten hier direct op inspelen. Nu beginnen we hier de gevolgen van te zien. Organisaties die hun digitale transformatie hebben versneld, moeten ook hun infrastructuur beveiligen, developers die werken aan cloud-native applicaties moeten security gaan integreren in het developmentproces van hun code. AppSec teams op hun beurt krijgen de taak om developers en de manier waarop zij software ontwikkelen te faciliteren en steunen, in plaats van te zoeken naar zwakke plekken in opgeleverde software.
AppSec teams verruimen blikveld
Het meest voor de handliggende scenario zou het verplaatsen van security naar de developer zijn. Wat we echter zien is dat beveiliging integraal deel gaat uitmaken van de infrastructuur. DevOps heeft sommige barrières tussen developers en applicatiebeveiligingsteams geslecht, maar in de toekomst verandert er meer. Security wordt onderdeel van de software development life cycle (SDLC), waarbij het meer en meer gaat om het ontwikkelen van veilige applicaties. Blijven securityteams zich alleen bezighouden met het vinden van bugs, dan vertragen zij de ontwikkeling van software en wordt hun positie ondermijnd. Daarom verruimen zij hun blikveld. Het gaat immers niet meer alleen om applicaties, maar om API’s, containers en low-code/no-code services.
Welke trends en ontwikkelingen liggen hieraan ten grondslag?
1. Digitale transformatie doet zijn intrede in applicatiebeveiliging
Veel bedrijven waren al bezig met de overstap naar de cloud, het toevoegen van automation en het gebruik van een software-defined infrastructuur, maar corona dwong het merendeel de plannen te versnellen. Veruit de meeste executives willen nu de operatie en infrastructuur van hun bedrijf cloud-native maken. En de meesten willen vaker containers gebruiken voor applicatie-ontwikkeling. Dit heeft invloed op de manier waarop developers en securityteams samenwerken. Nu vaak nog acterend vanuit “silo’s”, wat de ontwikkeling en het oplossen van beveiligingsproblemen vertraagt. Maar hierin komt verandering.
2. Security tools voor het verbeteren van applicaties
Security bestaat steeds meer uit het integreren en verstrekken van de tools die developers helpen om fouten te voorkomen en applicaties in de basis veiliger te maken. Vroeger focusten de meeste tools zich op het aangeven van wat fout was. Deze tools werden pas aan het einde van de development cycle gebruikt – bijvoorbeeld static application security testing (SAST) en dynamic application security testing (DAST) scanners – en legden het in productie nemen van de opgeleverde software stil. Niet bevorderlijk voor de goede relatie tussen security en developer teams. Door innovatie kunnen deze testtechnieken steeds beter en eerder in de SDLC worden geïntegreerd en verandert de rol van AppSec teams naar meer begeleiden van devops teams in het juiste gebruik van deze tools zodat er constant aandacht is voor security en er tijdens het gehele developmentproces wordt getest en bijgestuurd.
“Wie schrijft code? Developers. Wie moet de code repareren? Developers. Ontwikkeltools die de kwaliteit van code waarborgen en applicaties verbeteren, nemen de plaats van security tools in.”
3. Software-defined security is onderdeel van code en configuraties
Door de toename van DevOps en infrastructuur-als-code wordt security ook steeds meer geïntegreerd in de code. Software bestaat voor een groot gedeelte uit building blocks, waaronder opensource-componenten die pas zichtbaar worden als de software wordt gebruikt. Daarom moeten securitychecks worden ingebouwd. Developers ontwikkelen meestal de securitycode van applicaties voor ontwikkel-, test- en productieomgevingen maar steeds vaker produceren AppSec teams ook code die deel van de applicatie moet uitmaken.
4. Geautomatiseerd testen verbetert, maar de vraag naar testers met de juiste vaardigheden blijft bestaan
De tools die worden gebruikt door aanvallers, red-teams en pen-testers zijn steeds verder geautomatiseerd wat applicatiebeveiligingsaudits en pen-testen vergemakkelijkt. Automation kan cybersecurity professionals echter nog steeds niet helemaal vervangen. Er blijft dus behoefte aan goed opgeleide security teams.
5. Opmars open source is een bedreiging voor applicatiebeveiliging.
Developers maken vaak gebruik van opensource libraries en componenten. Moderne applicaties bestaan in het algemeen voor meer dan 80% uit opensource componenten. In 2019 had ongeveer een derde van de opensource-producten een securityprobleem. Bepalen welke opensource-componenten veilig zijn zou een belangrijke taak moeten zijn van een AppSec team.
Samen sterk
Deze trends veranderen de rol van AppSec teams. Zij moeten applicaties snel live zetten en zorgen dat dit veilig is. Echter de complexiteit van software en de frequentie van nieuwe releases blijft toenemen. Dat betekent dat developers de juiste tools moeten kunnen kiezen voor het bouwen van applicaties en het securityteam hen moet leren over en waarschuwen voor beveiligingsproblemen en hen daarnaast moet begeleiden bij het schrijven van veilige code. Zij moeten samenwerken voor snellere, veiligere en betere apps.
Applicatiebeveiliging zoals we het nu kennen gaat verdwijnen. Securitytesten worden eerder in de software development lifecycle geïntegreerd en leveren daardoor minder frictie met development teams op. Een aantal securitytaken schuift door naar developers. AppSec teams gaan daarom hun blikveld verruimen naar APIs, naar no-code en naar infrastructuur-als-code. Application security wordt integraal onderdeel van de complete infrastructuur waardoor development teams samen met AppSec teams verantwoordelijk worden voor veilige applicaties. In de toekomst maken zij zich samen sterk voor veilige software.
Op www.microfocus.com/appsecurity lees je meer over dit onderwerp.
