In mijn laatste artikel: "Het belang van shifting left", bespraken we het concept 'Shifting Left', het vroeg starten met beveiliging in je proces en wat dat betekent voor je bedrijf. We onderzochten het wat, waarom, en hoe. In dit artikel verkennen we een aantal tools die je kunnen helpen om een veilige reis te maken. Daarbij richten we ons in dit artikel specifiek op Azure DevOps.
Terwijl we samen op verkenning gaan, zal ik specifieke tools vermelden. Er zijn vaak meerdere tools die hetzelfde of een soortgelijk doel bereiken. Het is aan jou en je bedrijf om de opties te evalueren en te beslissen welke het beste past.
In het vorige artikel bespraken we hoe belangrijk automatisering was om links te verschuiven. De tools die we hier onderzoeken zullen je helpen bij het automatiseren van de detectie en, in sommige gevallen, het verhelpen van kwetsbaarheden in jouw codebase. We duiken in de volgende tools en onderwerpen:
Gitleaks
SonarQube
Whitesource Bolt
Container beveiliging
Het belang van tooling
De conclusie
DevOps met Intercept
Gitleaks
Gitleaks is een SAST (Static Application Security Testing) project dat je git repo's scant op hardcoded geheimen. Deze geheimen kunnen variëren van credentials (gebruikersnamen/wachtwoorden) tot API sleutels en tokens. Kom meer te weten over het Gitleaks project.
Je kunt Gitleaks lokaal installeren en pre-commit hooks gebruiken om er zeker van te zijn dat je geen secrets commit naar je git repositories.
Daarnaast kan je Gitleaks ook opnemen in je Azure DevOps Pipelines door gebruik te maken van de Gitleaks extensie. Als je een YAML-gebaseerde pipeline gebruikt, zou je met het volgende fragment kunnen beginnen om je bron repository te scannen.
Als je al gecommitteerde secrets in je repository vindt, is het essentieel om ze volledig uit je repository te verwijderen, zowel de git history als de codebase zelf. Op dit punt zou je alle gecommitteerde secrets als gecompromitteerd moeten beschouwen en ze onmiddellijk moeten veranderen. GitHub heeft goede documentatie over het verwijderen van gevoelige data.
SonarQube
SonarQube is een tool waarmee je codebase continu wordt geïnspecteerd, met als doel je project of applicatie te beschermen tegen slechte kwaliteit code, beveiligingslekken en technische schuld. Het is in staat om meerdere talen te analyseren, waaronder C#, C++, Java, Python, en meer.
Met behulp van de SonarQube Azure DevOps extensie kan je "Quality Gates" introduceren in jouw pipelines. Hiermee kan je een build of pipeline laten mislukken als je een mislukte analyse hebt. Dit helpt om te voorkomen dat je naar productie gaat met problemen in jouw codebase.
Een zeer nuttige functie is de mogelijkheid om het samenvoegen van een Pull Request te blokkeren als er een mislukte Quality Gate is. Je kunt meer informatie vinden over hoe dit te configureren in de SonarQube Docs pages.
WhiteSource Bolt
Als je open-source software maakt of werkt met open-source afhankelijkheden, heb je misschien wel eens gehoord van WhiteSource Bolt. WhiteSource Bolt is een gratis Azure DevOps-extensie die open-source componenten in je codebase detecteert. Het scant vervolgens op bekende kwetsbaarheden en licentie problemen.
Volgens hun documentatie, stelt de extensie je in staat om:
Kwetsbare open-source componenten te detecteren en te verhelpen;
Een uitgebreid open-source inventarisatierapport per build genereren;
Naleving van open-source licenties af te dwingen, inclusief afhankelijkheden.
Je kunt WhiteSource Bolt opnemen in jouw Azure DevOps pipelines. Zie de hierboven gelinkte documentatie voor details over het gebruik; je kunt beginnen met de onderstaande snippet om WhiteSource Bolt in jouw pipeline definities te gebruiken.
WhiteSource biedt ook een "volledige oplossing" die meer talen en tools ondersteunt, naast andere feature toevoegingen.
Container Beveiliging
Container Security is een Azure DevOps uitbreiding van Aqua Security. Als je Azure DevOps pipelines gebruikt om je container images te bouwen, dan vind je deze uitbreiding wellicht nuttig.
De uitbreiding laat je toe om een stap toe te voegen aan jouw container image build proces. Deze stap controleert images op problemen en kwetsbaarheden voordat ze naar het container register van je keuze worden gepushed.
Het belang van tooling
De bovenstaande tools en extensies zijn slechts een selectie van wat er beschikbaar is in het ecosysteem. Hoe verder je opschuift naar links, is de tooling die je gebruikt een belangrijk onderdeel van je succes. Als een team van ontwikkelaars of DevOps ingenieurs, is het onmogelijk om alle kwetsbaarheden en technische problemen alleen op te sporen en te verhelpen. Dit is waar de gekozen tooling zeer belangrijk wordt.
Door tooling te kiezen die detectie en, waar mogelijk, herstel automatiseert, wordt het voor jouw team gemakkelijker om tijd te besteden aan de backlog in plaats van aan het opsporen van kwetsbaarheden. Het kiezen van de juiste tooling zal uiteindelijk agility, efficiëntie en time to market voordelen opleveren.
Tot slot...
Het doel van dit artikel was om een aantal van de tools/extensies te belichten die beschikbaar zijn binnen het Azure DevOps ecosysteem en die je zouden kunnen helpen in je reis als je naar links verschuift. Zoals hierboven vermeld, zijn dit niet de enige beschikbare tools en worden ze enkel vermeld om een idee te geven van wat mogelijk is door het extensie ecosysteem te verkennen.
In het volgende artikel zullen we het hebben over praktische manieren waarop je "links kunt verschuiven" door gebruik te maken van tooling, extensies, en automatisering binnen GitHub.
DevOps met Intercept
Ben je klaar om je kennis rondom Azure DevOps te vergroten, en te leren welke tooling voor jou geschikt is? Dan is onze workshop DevOps in Azure een perfecte volgende stap!
Wellicht ook interessant:
Beveilig je data science omgeving in Azure
In dit artikel leggen we uit hoe je je data science-omgeving kunt beveiligen. Veiligheid voor alles!
Een nieuw kwartaal vol nieuwe vernieuwingen van Azure. Azure heeft zeker niet stil gestaan! Er is ook geen teken dat het rustiger wordt. Kijk samen me onze expert naar wat Azure het afgelopen kwartaal heeft gedaan en wat er nog komen gaat!
Een nieuw jaar vol nieuwe vernieuwingen van Azure. Azure heeft zeker niet stil gestaan! Er is ook geen teken dat het rustiger wordt. Kijk samen me onze expert naar een terugblik van 2022 én vooruitblik van 2023!
Met deze zeven punten maak je software security het startpunt van je proces. | Als je kijkt naar de traditionele softwareontwikkelingslevenscyclus dan is 'Shifting Left' het 'naar links verplaatsen' van een fase van het softwareontwikkelingsproces.
NEN 7510 behaal je met Azure: tips om veilig in de cloud te werken als MSP in de zorg
Help jouw zorgklanten een veilige overstap te maken naar de cloud én behaal of behoud de NEN 7510 certificering een stuk sneller met de de tips uit dit blog.
“Never waste a good crisis”, deze bekende woorden van Churchill zijn momenteel actueler dan ooit. Ransomware aanvallen komen niet alleen vaker voor, ze hebben ook steeds meer impact op de getroffen organisaties en de samenleving.
In dit artikel wil ik stil staan bij hoe je onder andere met de volgende onderwerpen omgaat: Kennismanagement onder personeel; IaaS vs PaaS; Hoe hou je innovaties bij? DevOps cultuur; Cloud security en framework.
Wat is Azure Cloud Governance en hoe integreer ik het in mijn omgeving?
Cloudtechnologieën zijn relatief eenvoudig te implementeren. Je kunt letterlijk binnen enkele minuten up and running zijn, maar haastig starten leidt helaas vaak tot meerwerk. Daarom is het belangrijk dat je beschikt over een gedegen plan.
Hoe gaat Azure om met privacy, beveiliging en compliance?
Beveiliging van data wordt alsmaar belangrijker. Als organisatie ben je verplicht om zorgvuldig om te gaan met je data en daar bestaat strenge regelgeving voor. Bovendien wil je niet dat je data in verkeerde handen terecht komt.
IT-security: Intercept en extra veiligheid in de welzijnszorg
Het opslaan en de beveiliging van databestanden lijkt vaak een vanzelfsprekende zaak. Toch kan de security en de waarborging van data van levensbelang zijn. Zeker in de zorg. Jack van Ommen, accountmanager bij Intercept, weet er alles van.
