DevSecOps
Kuvauksen kirjoitti: Venla Lyytikäinen
Lyhyt kuvaus käsitteestä tai aiheesta
DevSecOpsin on ohjelmistotuotannon ketterän kehityksen toimintamalli, jonka päämääränä on ennen kaikkea ennakoida ja ennaltaehkäistä tietoturvauhkia. DevSecOps tuo tuotekehitykseen tietoturvanäkökulman mukaan jokaiseen ohjelmistotuotannon vaiheeseen. Sen tavoite on edistää koodin nopeaa ja turvallista käyttöönottoa.
Usein tietoturva huomioidaan vasta projektin loppuosalla, jolloin tietoturvan integraatio voi olla hankalampaa, koska projektin eri komponentit ovat riippuvaisia toisistaan ja tietoturva tulisi huomioida niissä kaikissa. Kun tietoturva huomioidaan alusta alkaen, ei komponenttien rakennetta ja toimintaa tarvitse muokata myöhemmin tietoturvan vuoksi. Lisäksi DevSecOps ei sysää tietoturvaa vain muutamalle taholle, vaan asettaa tietoturvan kaikkien projektin osapuolten yhteiseksi vastuuksi. Tämä voi auttaa ongelmien tunnistamisessa, kun työmäärä on jaettu paremmin. Vastuiden jakamisen on myös tarkoituksena edistää kommunikaatiota tiimin keskuudessa.
DevSecOps voi auttaa projekteja olemaan ketterämpiä, kun muiden ketterän kehityksen menetelmien lisäksi tietoturvanäkökulma on alusta alkaen osana ohjelmiston kehittämistä. Tietoturvaongelmat voivat hidastaa ohjelman julkaisua, mutta DevSecOpsissa tietoturvaongelmat korjataan mahdollisimman pian niiden tunnistamisen jälkeen. Tämä voi vähentää tietoturvaan liittyviä kustannuksia, koska hyvällä ennaltaehkäisyllä voidaan projektin loppupuoliskolla välttyä uusilta tietoturvaongelmilta, joiden korjaus voi myös hidastaa julkaisua.
DevSecOpsissa palomuureja tärkeämpää on se, että ohjelmisto on itse luotettava ja turvallinen, koska mallin mukaan toimittaessa tietoturva ei ole kuin muuri palvelun ympärillä, vaan tavoitteena on, että palvelu on sisältä päin vahva. Usein tämä tarkoittaa myös sitä, että ainakin osa tietoturvasta automatisoidaan. Se voi tarkoittaa esimerkiksi automatisoituja, jatkuvia turvallisuustarkastuksia ja jatkuvaa poikkeamien havaitsemista. Automatisointiin voidaan myös käyttää tekoälyä apuvälineenä. Automatisoitujen turvallisuustestauksien lisäksi uhkienmallinnus on tärkeä osa DevSecOpsia.
DevSecOps on osa ketterää kehitystä ja ohjelmistotuotantoa. Käsite liittyy DevOpsiin, koska se on kuin DevOps-malli, mutta siihen on otettu tietoturvanäkökulma mukaan. Kuten DevOpsissa, DevSecOpsissakin huomioidaan jatkuva integraatio ja jatkuva julkaisu. Alla linkit käsitteisiin.
DevSecOps ei ole vain työkaluja, vaan se on myös mentaliteetti: Tietoturva on kaikkien vastuulla ja tulee huomioida kaikessa.
Muuta aiheeseen liittyvää
DevSecOps lyhenne tulee englannin kielen sanoista "Software Development, Security, and IT operations" eli ohjelmistotuotanto, turvallisuus ja IT-toiminta.
Termiä voidaan nähdä SecDevOps-muodossa, painottamaan vielä enemmän tietoturvan merkitystä.
Linkit ulkopuolisiin lähteisiin
- https://www.mintsecurity.fi/miten-sovelluskehittajat-voivat-toteuttaa-secdevops-kaytantoja-organisaatiossaan/
- https://www.midagon.com/devsecops-tietoturvatekemisen-seuraava-taso-ideologinen-harha-vai-totta/
- https://www.cgi.com/fi/fi/videot/mita-devopsilla-ja-devsecopsilla-tarkoitetaan
- https://www.leijonasecurity.fi/2019/10/31/miksi-tarvitsemme-devsecopsia/
- https://www.ibm.com/cloud/learn/devsecops
- https://www.redhat.com/en/topics/devops/what-is-devsecops
- https://www.appdynamics.com/blog/product/devops-vs-devsecops/