Beveilig je software met Azure DevOps

In mijn laatste artikel: "Het belang van shifting left", bespraken we het concept 'Shifting Left', het vroeg starten met beveiliging in je proces en wat dat betekent voor je bedrijf. We onderzochten het wat, waarom, en hoe. In dit artikel verkennen we een aantal tools die je kunnen helpen om een veilige reis te maken. Daarbij richten we ons in dit artikel specifiek op Azure DevOps.

Terwijl we samen op verkenning gaan, zal ik specifieke tools vermelden. Er zijn vaak meerdere tools die hetzelfde of een soortgelijk doel bereiken. Het is aan jou en je bedrijf om de opties te evalueren en te beslissen welke het beste past.

In het vorige artikel bespraken we hoe belangrijk automatisering was om links te verschuiven. De tools die we hier onderzoeken zullen je helpen bij het automatiseren van de detectie en, in sommige gevallen, het verhelpen van kwetsbaarheden in jouw codebase. We duiken in de volgende tools en onderwerpen:

  1. Gitleaks
  2. SonarQube
  3. Whitesource Bolt
  4. Container beveiliging
  5. Het belang van tooling
  6. De conclusie
  7. DevOps met Intercept

Gitleaks

Gitleaks is een SAST (Static Application Security Testing) project dat je git repo's scant op hardcoded geheimen. Deze geheimen kunnen variëren van credentials (gebruikersnamen/wachtwoorden) tot API sleutels en tokens. Kom meer te weten over het Gitleaks project.

Je kunt Gitleaks lokaal installeren en pre-commit hooks gebruiken om er zeker van te zijn dat je geen secrets commit naar je git repositories.

Daarnaast kan je Gitleaks ook opnemen in je Azure DevOps Pipelines door gebruik te maken van de Gitleaks extensie. Als je een YAML-gebaseerde pipeline gebruikt, zou je met het volgende fragment kunnen beginnen om je bron repository te scannen.

Gitleaks code

Als je al gecommitteerde secrets in je repository vindt, is het essentieel om ze volledig uit je repository te verwijderen, zowel de git history als de codebase zelf. Op dit punt zou je alle gecommitteerde secrets als gecompromitteerd moeten beschouwen en ze onmiddellijk moeten veranderen. GitHub heeft goede documentatie over het verwijderen van gevoelige data.

 

SonarQube

SonarQube is een tool waarmee je codebase continu wordt geïnspecteerd, met als doel je project of applicatie te beschermen tegen slechte kwaliteit code, beveiligingslekken en technische schuld. Het is in staat om meerdere talen te analyseren, waaronder C#, C++, Java, Python, en meer.

Met behulp van de SonarQube Azure DevOps extensie kan je  "Quality Gates" introduceren in jouw pipelines. Hiermee kan je een build of pipeline laten mislukken als je een mislukte analyse hebt. Dit helpt om te voorkomen dat je naar productie gaat met problemen in jouw codebase.

Een zeer nuttige functie is de mogelijkheid om het samenvoegen van een Pull Request te blokkeren als er een mislukte Quality Gate is. Je kunt meer informatie vinden over hoe dit te configureren in de SonarQube Docs pages.

 

WhiteSource Bolt

Als je open-source software maakt of werkt met open-source afhankelijkheden, heb je misschien wel eens gehoord van WhiteSource Bolt. WhiteSource Bolt is een gratis Azure DevOps-extensie die open-source componenten in je codebase detecteert. Het scant vervolgens op bekende kwetsbaarheden en licentie problemen.

Volgens hun documentatie, stelt de extensie je in staat om:

  • Kwetsbare open-source componenten te detecteren en te verhelpen;
  • Een uitgebreid open-source inventarisatierapport per build genereren;
  • Naleving van open-source licenties af te dwingen, inclusief afhankelijkheden.

Je kunt WhiteSource Bolt opnemen in jouw Azure DevOps pipelines. Zie de hierboven gelinkte documentatie voor details over het gebruik; je kunt beginnen met de onderstaande snippet om WhiteSource Bolt in jouw pipeline definities te gebruiken.

WhiteSource biedt ook een "volledige oplossing" die meer talen en tools ondersteunt, naast andere feature toevoegingen.

 

Container Beveiliging

Container Security is een Azure DevOps uitbreiding van Aqua Security. Als je Azure DevOps pipelines gebruikt om je container images te bouwen, dan vind je deze uitbreiding wellicht nuttig.

De uitbreiding laat je toe om een stap toe te voegen aan jouw container image build proces. Deze stap controleert images op problemen en kwetsbaarheden voordat ze naar het container register van je keuze worden gepushed.

Het belang van tooling

De bovenstaande tools en extensies zijn slechts een selectie van wat er beschikbaar is in het ecosysteem. Hoe verder je opschuift naar links, is de tooling die je gebruikt een belangrijk onderdeel van je succes. Als een team van ontwikkelaars of DevOps ingenieurs, is het onmogelijk om alle kwetsbaarheden en technische problemen alleen op te sporen en te verhelpen. Dit is waar de gekozen tooling zeer belangrijk wordt.

Door tooling te kiezen die detectie en, waar mogelijk, herstel automatiseert, wordt het voor jouw team gemakkelijker om tijd te besteden aan de backlog in plaats van aan het opsporen van kwetsbaarheden. Het kiezen van de juiste tooling zal uiteindelijk agility, efficiëntie en time to market voordelen opleveren.

 

Tot slot...

Het doel van dit artikel was om een aantal van de tools/extensies te belichten die beschikbaar zijn binnen het Azure DevOps ecosysteem en die je zouden kunnen helpen in je reis als je naar links verschuift. Zoals hierboven vermeld, zijn dit niet de enige beschikbare tools en worden ze enkel vermeld om een idee te geven van wat mogelijk is door het extensie ecosysteem te verkennen.

In het volgende artikel zullen we het hebben over praktische manieren waarop je "links kunt verschuiven" door gebruik te maken van tooling, extensies, en automatisering binnen GitHub.

DevOps met Intercept

Ben je klaar om je kennis rondom Azure DevOps te vergroten, en te leren welke tooling voor jou geschikt is? Dan is onze workshop DevOps in Azure een perfecte volgende stap! 

Devops

 

Wellicht ook interessant:

  • 20220201 Intercept Artikel Illustratie Maak Software Security Het Startpunt Van Je Proces NL (1) (1)

    Het belang van ‘shifting left’

    Met deze zeven punten maak je software security het startpunt van je proces. | Als je kijkt naar de traditionele softwareontwikkelingslevenscyclus dan is 'Shifting Left' het 'naar links verplaatsen' van een fase van het softwareontwikkelingsproces.

    • Leesduur 7min
    Meer over Het belang van ‘shifting left’
  • Hoofdfoto 2

    Hoe bescherm je je organisatie tegen Ransomware?

    “Never waste a good crisis”, deze bekende woorden van Churchill zijn momenteel actueler dan ooit. Ransomware aanvallen komen niet alleen vaker voor, ze hebben ook steeds meer impact op de getroffen organisaties en de samenleving.

    • Leesduur 5min
    Meer over Hoe bescherm je je organisatie tegen Ransomware?
  • Aks Security

    AKS Security

    Iedereen werkt hard aan het nieuwe platform en dan vraagt iemand... "Hoe zit het met de veiligheid?"

    • Leesduur 10min
    Meer over AKS Security
  • Illustratie Technologie Engels

    Transformatievlakken voor ISV's - Technologie

    In dit artikel wil ik stil staan bij hoe je onder andere met de volgende onderwerpen omgaat: Kennismanagement onder personeel; IaaS vs PaaS; Hoe hou je innovaties bij? DevOps cultuur; Cloud security en framework.

    • Leesduur 9min
    Meer over Transformatievlakken voor ISV's - Technologie
  • Template Artikel 42 Foto Engels Versie 21

    Wat is Azure Cloud Governance en hoe integreer ik het in mijn omgeving?

    Cloudtechnologieën zijn relatief eenvoudig te implementeren. Je kunt letterlijk binnen enkele minuten up and running zijn, maar haastig starten leidt helaas vaak tot meerwerk. Daarom is het belangrijk dat je beschikt over een gedegen plan.

    • Leesduur 4min
    Meer over Wat is Azure Cloud Governance en hoe integreer ik het in mijn omgeving?
  • Template Artikel 3 Foto Engels

    Hoe gaat Azure om met privacy, beveiliging en compliance?

    Beveiliging van data wordt alsmaar belangrijker. Als organisatie ben je verplicht om zorgvuldig om te gaan met je data en daar bestaat strenge regelgeving voor. Bovendien wil je niet dat je data in verkeerde handen terecht komt.

    • Leesduur 3min
    Meer over Hoe gaat Azure om met privacy, beveiliging en compliance?
  • Cloud1

    Webinar: Technische impact van AVG

    Als IT-manager weet u dat u aan de slag moet om uw organisatie klaar te maken voor de AVG, maar waar moet u beginnen? Of als u de eerste stappen al heeft gezet, hoe zorgt u er dan voor dat u ook echt aan de wetgeving voldoet of blijft voldoen?

    • Leesduur 2min
    Meer over Webinar: Technische impact van AVG
  • Intercept It Security Intercept En Extra Veiligheid In De We

    IT-security: Intercept en extra veiligheid in de welzijnszorg

    Het opslaan en de beveiliging van databestanden lijkt vaak een vanzelfsprekende zaak. Toch kan de security en de waarborging van data van levensbelang zijn. Zeker in de zorg. Jack van Ommen, accountmanager bij Intercept, weet er alles van.

    • Leesduur 2min
    Meer over IT-security: Intercept en extra veiligheid in de welzijnszorg
  • Gdprcompliance01

    Time to get up to speed with GDPR

    Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG), beter bekend als General Data Protection Regulation (GDPR), in werking. Hierdoor krijgen Europese burgers meer zeggenschap over hun persoonlijke gegevens. Deze verordening zal niet alleen van invloed zijn op organisaties binnen de Europese Economische Ruimte, maar ook op wereldwijde organisaties die zich richten op markten en/of consumenten in de EU.

    • Leesduur 3min
    Meer over Time to get up to speed with GDPR
  • Imss (1)

    Managed Security Services vanuit Azure

    Vanuit onze Intercept Managed Security Services wordt uw omgeving continu gemonitord en wordt security een vast onderwerp van uw rapportages.

    • Leesduur 3min
    Meer over Managed Security Services vanuit Azure

Tags

  • Security & Compliance

Geschreven door

Karl Cooke

Karl Cooke

Azure Architect

Benieuwd wat we voor u kunnen betekenen?

Wil je beginnen met Azure DevOps?

Download onze Azure DevOps startersgids en ga direct aan de slag!