Tietoturvan tulisi olla suuressa roolissa organisaatioissa, koska onnistuneella hyökkäyksellä voi olla tuntuvia vaikutuksia organisaation maineeseen ja toimintaan. On myös hyvä tiedostaa, ettei järjestelmä voi olla kovin laadukas, mikäli tietoturvaa ei ole huomioitu. Tällöin myös tuotantoympäristöön päätyy helposti vakaviakin tietoturvaongelmia. Tästä syystä tietoturvaan tulisi kiinnittää huomiota myös ohjelmistokehitysprosessissa, ja mieluiten mahdollisimman aikaisessa vaiheessa ohjelmistokehitysprosessia, sillä myöhään havaitut tietoturvaongelmat ovat monesti kalliimpia ja työläämpiä korjata sekä ne myös estävät/viivästyttävät julkaisuja.
Termi “DevSecOps” (Development, Security, Operations) tarkoittaa sitä, kun tietoturva tuodaan kokonaisvaltaisesti mukaan
DevOps:ia noudattavaan ohjelmistokehitysprosessiin. Ideana on, että tietoturva on yhteinen vastuualue kaikkien ohjelmistokehitysprosessiin liittyvien tahojen kesken. Tämä edellyttää erillisen “security” tiimin siilon rikkomista, sillä erillinen “security” tiimi ei ole enää yksinomaan vastuussa tietoturvasta. DevSecOps ei itsessään tarkoita mitään nimenomaista prosessia, vaan tietoturvan huomioimista prosessin jokaisessa vaiheessa erilaisilla tarkoituksenmukaisilla tavoilla. Se siis on menetelmä ohjelmistokehitysprosessin parantamiseksi tietoturvan näkökulmasta. Käytännössä tämä tarkoittaa erilaisia toimintamalleja, työkaluja ja teknologioita joiden avulla tietoturvaa saadaan parannettua, kuten esimerkiksi estämään tehokkaammin erilaisten tietoturvaongelmien päätymistä tuotantojärjestelmään. Näin päästään tilanteeseen, jossa tietoturvaa aletaan toteuttaa aiemmassa vaiheessa ohjelmistokehitysprosessia verrattuna perinteiseen malliin, jossa tietoturvaan keskittyvä testaus tehdään vasta kehityksen jälkeen.
DevOps:in käytäntöjen mukaisesti tietoturvaan liittyviä tehtäviä pyritään myös automatisoimaan. Esimerkiksi, kun turvallisuustestaus on automatisoitu ja osana CI/CD-putkea, niin erilaisia tietoturvaongelmia, kuten haavoittuvuuksia voidaan huomata aikaisessa vaiheessa prosessia. Lisäksi automatisointi myös estää tehokkaasti ettei tietoturvasta tule pullonkaulaa ja siten aiheuta viivästyksiä julkaisuille.
Yleisiä menetelmiä DevSecOps:in yhteydessä ovat esimerkiksi uhkamallinnus, tietoturvaan liittyvien käytäntöjen ja periaatteiden noudattaminen suunnittelun ja kehityksen yhteydessä, tietoturvaongelmien tunnistaminen ohjelmakoodista automaattisesti staattisen analyysin avulla (SAST), haavoittuvuuksien tunnistaminen järjestelmän riippuvuuksista (SCA), järjestelmän automaattinen turvallisuustestaus (DAST/IAST), arkaluontoisen tiedon skannaus, penetraatiotestaus ja informatiivinen lokitus. DevSecOps:iin liittyy myös jatkuva monitorointi hälytyksineen tietoturvan näkökulmasta, ja lisäksi toimintamalleja liittyen miten erilaisiin tietoturvatapahtumiin reagoidaan.
Eli DevSecOps ohjaa tiimejä suunnittelemaan ja kehittämään järjestelmää tietoturvallisella tavalla. Tietoturvan ei tulisi olla päälleliimattu osa ohjelmistokehitysprosessia, koska siten ei saavuteta kaikkia hyötyjä DevSecOps:ista. Tähän auttaa, että koko organisaatiossa toteutetaan tietoturvaa suunnitelmallisesti, jatkuvasti ja kokonaisvaltaisesti luoden ja parantaen organisaation sisäistä kulttuuria tietoturvaan liittyen. Tämä käsittää myös sen, että itse DevSecOps:ia noudattavaa ohelmistokehitysprosessia sekä käytettäviä menetelmiä parannetaan jatkuvasti. Näin päästään tilanteeseen, jossa kaikki ohjelmistokehitysprosessin osalliset tahot ovat paremmin tietoisia erilaisista tietoturvaan liittyvistä asioista. Ja ennen kaikkea he pystyvät toteuttamaan tietoturvaa entistäkin paremmin ottaen myös huomioon organisaation ja eri järjestelmien tarpeet ja vaatimukset.
