DevSecOps käytännössä: Samlink rakentaa turvallisuutta osaksi kehitystä

Turvallisuus sulautuu DevOpsin DNA:han

Uutiset |
Jaa

Ohjelmistokehityksen on nykyään oltava nopeaa. Jos tietoturva huomioidaan vasta lopuksi, vauhti voi muodostua riskiksi. Siksi turvallisuustekijöiden tuominen kiinteäksi osaksi DevOpsia, eli DevSecOps-ajattelu,on eräs modernin ohjelmistokehityksen keskeisimmistä muutoksista.

Samlinkin Chief Information Security Officer Christian Eichin kiteyttää muutoksen ytimen näin:

“Tietoturva ei voi olla yksittäinen lisäys kehitysprosessin lopussa. Se on kerros, joka rakentuu jokaiseen kehitysvaiheeseen. Kerroksen pitäisi olla luonnollinen ja melkein näkymätön, mutta kuitenkin olemassa.”

Prosesseista ajattelutavaksi

DevSecOpsin perusajatus on selkeä; sen mukaan kehityksen, toiminnan ja turvallisuuden ei pitäisi olla erillisiä osioita. Turvallisuutta ei voi liimata päälle jälkikäteen, vaan se rakennetaan osaksi samaa jatkuvaa suunnittelun, testaamisen ja julkaisemisen sykliä, joka määrittää DevOpsin.

Christian korostaa, ettei kyse ole pelkästään teknologiasta.

“DevSecOps ei ole työkalu, vaan ajattelutapa. Kyse on siirtymästä: turvallisuus ei ole enää hidaste, vaan mahdollistaja. Vastuu kuuluu kaikille, kehittäjistä johtoportaaseen.”

Käytännössä tämä tarkoittaa automatisoituja turvatarkastuksia, haavoittuvuusskannereita osana CI/CD-putkia ja koodianalytiikkaa, joka antaa palautetta välittömästi. Mutta yhtä tärkeää on luottamus, avoimuus ja toimiva vuoropuhelu tiimien välillä.

Suurin haaste on oikean tasapainon löytäminen. Automaatio on nopeuden edellytys, mutta se ei voi korvata ihmisen harkintakykyä.

“Voimme automatisoida skannauksia ja tarkistuksia, mutta sillä ei ole arvoa ilman kontekstia. Ihmisiä tarvitaan tulkitsemaan tuloksia ja arvioimaan riskejä.”

Samlinkissa tasapaino syntyy turvallisuusasiantuntijoiden ja kehitystiimien tiiviistä yhteistyöstä. Tavoitteena ei ole hidastaa kehitystä, vaan tehdä jokaisesta vaiheesta turvallinen aina suunnittelusta lähtien.

“Kun kehittäjä saa heti palautteen riskeistä koodissa, ongelmat ratkeavat varhaisessa vaiheessa, eivätkä ne pääse tuotantoon saakka. Siinä on DevSecOpsin todellinen arvo.”

Resilienssi alkaa suunnittelupöydältä

Samlinkin DevSecOps-lähestymistapa on linjassa Kyndrylin kyberresilienssiajattelun kanssa: turvallisuus rakennetaan järjestelmän rakenteeseen, ei sen päälle.

Christian huomauttaa, ettei resilienssi ole yksittäinen ratkaisu, vaan jatkuva oppimis- ja parantamisprosessi.

“Tuomme jatkuvan kontrollien seurannan ja uhkamallinnuksen osaksi kehitystä, jotta resilienssi kasvaa tuotteen mukana.”

Kyndrylin lähestymistapaa kutsutaan co-created resilience -malliksi: asiakkaiden, kumppaneiden ja asiantuntijoiden yhteistyönä syntyvä puolustus, joka mukautuu organisaation tarpeisiin.

“Kun turvallisuus on sisäänrakennettu osaksi DevOpsia, se ei ole vain IT-osaston asia. Se on osa liiketoimintaa ja edellytys turvallisille innovaatioille.”

Ohjelmistotoimitusten nopeutuvat kehityssyklit lisäävät painetta säilyttää ketteryys ja turvallisuus. Tekoäly, automaatio ja yhä monimutkaisemmat ekosysteemit muuttavat pelisääntöjä. Christian uskoo, että ne organisaatiot, jotka panostavat DevSecOpsiinsa nyt, rakentavat digitaalisen resilienssin seuraavaa vaihetta.

“DevSecOps on pohjimmiltaan luottamusta ihmisten, tiimien ja järjestelmien välillä. Kun turvallisuus on DNA:ssa, se ei hidasta, vaan tekee vahvemmaksi.”