2026-03-08
By Emre SalmanogluDevSecOps: de complete gids voor beveiligings- en engineeringteams
Leer hoe u beveiliging integreert in uw CI/CD-pipeline en voldoet aan ISO 27001, SOC 2, NIS2 en DORA-vereisten. Behandelt SAST, DAST, SCA, containerbeveiliging, IaC-scanning en compliancebewijs.
DevSecOps
applicatiebeveiliging
CI/CD-beveiliging
shift left
compliance
Wat is DevSecOps?
DevSecOps is de praktijk van het integreren van beveiliging in elke fase van de softwareontwikkelingslevenscyclus in plaats van het als een laatste controlepost te behandelen. Het bedt geautomatiseerde beveiligingstesten in CI/CD-pipelines in, maakt beveiliging een gedeelde verantwoordelijkheid van development-, security- en operationsteams en zorgt ervoor dat applicaties veilig worden gebouwd vanaf de eerste regel code.
De verschuiving van traditionele beveiligingsbeoordelingen naar DevSecOps weerspiegelt de realiteit van moderne softwarelevering: wanneer teams meerdere keren per dag deployen, kan beveiliging niet wachten op driemaandelijkse penetratietesten. In plaats daarvan moet beveiliging continu, geautomatiseerd en ontwikkelaarsvriendelijk zijn.
DevSecOps-pipelinefasen
| Fase | Beveiligingsactiviteiten | Tools |
|---|---|---|
| Plan | Dreigingsmodellering, beveiligingsvereisten, veilige ontwerppatronen | STRIDE, OWASP-dreigingsmodellen |
| Code | Veilige codeerstandaarden, pre-commit hooks, IDE-beveiligingsplugins | Semgrep, SonarLint, ESLint-beveiligingsregels |
| Build | SAST, SCA, afhankelijkheidsscanning, geheimdetectie | Semgrep, Snyk, GitLeaks, Trivy |
| Test | DAST, API-beveiligingstesten, containerscanning | OWASP ZAP, Burp Suite, Trivy |
| Deploy | IaC-scanning, admission controllers, image-ondertekening | Checkov, OPA/Gatekeeper, Cosign |
| Operate | Runtime-bescherming, WAF, RASP | Falco, ModSecurity, cloud WAF |
| Monitor | Kwetsbaarheidsmonitoring, SBOM-tracking, CVE-alertering | Dependabot, Snyk Monitor, Grype |
Typen beveiligingstesten
| Testtype | Wat het analyseert | Wanneer het draait | Detectiekracht |
|---|---|---|---|
| SAST | Broncode, bytecode | Buildtijd | Kwetsbaarheden op codeniveau (SQLi, XSS, injectie) |
| DAST | Draaiende applicatie | Na deployment | Runtime-kwetsbaarheden, foutconfiguraties |
| SCA | Afhankelijkheden van derden | Buildtijd | Bekende CVE's in open-source bibliotheken |
| IAST | Applicatie tijdens testen | Integratietesten | Runtime-codepaden met context |
| Geheimdetectie | Code, configuraties, commits | Pre-commit, build | Hardgecodeerde referenties, API-sleutels, tokens |
| IaC-scanning | Terraform, CloudFormation, K8s-manifesten | Pre-deploy | Infrastructuurfoutconfiguraties |
| Containerscanning | Docker-images, registries | Build, deploy, runtime | Image-kwetsbaarheden, foutconfiguraties |
Kwetsbaarheidsbeheer in DevSecOps
| Ernst | SLA (MTTR) | Pipeline-actie | Voorbeeld |
|---|---|---|---|
| Kritiek | 24 uur | Deployment blokkeren | Remote code execution, SQL-injectie |
| Hoog | 7 dagen | Deployment blokkeren | Authenticatie-bypass, SSRF |
| Gemiddeld | 30 dagen | Waarschuwen, deployment toestaan | XSS (stored), onveilige deserialisatie |
| Laag | 90 dagen | Alleen informeren | Informatielekken, uitgebreide foutmeldingen |
Beveiliging van de softwaretoeleveringsketen
| Controle | Wat het doet | Tools |
|---|---|---|
| SBOM-generatie | Inventaris maken van alle softwarecomponenten | Syft, CycloneDX, SPDX |
| Afhankelijkheidsscanning | Bekende kwetsbaarheden identificeren in afhankelijkheden | Snyk, Dependabot, Renovate |
| Licentiecompliance | Restrictieve of incompatibele licenties detecteren | FOSSA, Snyk, WhiteSource |
| Artefactondertekening | Build-artefacten cryptografisch ondertekenen | Cosign, Sigstore, Notary |
| Herkomstattest | Bewijzen waar en hoe artefacten zijn gebouwd | SLSA-framework, in-toto |
| Registrybeveiliging | Controleren welke images gedeployd mogen worden | Harbor, admission controllers |
Geheimenbeheer
| Aanpak | Beveiligingsniveau | Toepassingsgeval |
|---|---|---|
| Omgevingsvariabelen | Laag | Alleen lokale ontwikkeling |
| Versleutelde configuratiebestanden | Gemiddeld | Eenvoudige deployments |
| Secrets manager | Hoog | Productiesystemen (AWS Secrets Manager, HashiCorp Vault, Azure Key Vault) |
| Kortlevende tokens | Zeer hoog | Service-naar-service-authenticatie |
| Workload-identiteit | Zeer hoog | Cloud-native applicaties (helemaal geen geheimen) |
Compliancevereisten
Frameworkmapping
| Vereiste | ISO 27001 | SOC 2 | NIS2 | DORA |
|---|---|---|---|---|
| Beleid voor veilige ontwikkeling | A.8.25 | CC8.1 | Art. 21(2)(e) | Art. 8(1) |
| Beveiligingstesten | A.8.29 | CC8.1 | Art. 21(2)(e) | Art. 8(3) |
| Veilige codeerpraktijken | A.8.28 | CC8.1 | Art. 21(2)(e) | Art. 8(1) |
| Wijzigingsbeheer | A.8.32 | CC8.1 | Art. 21(2)(e) | Art. 8(2) |
| Scheiding van omgevingen | A.8.31 | CC6.7 | Art. 21(2)(e) | Art. 8(4) |
| Kwetsbaarheidsbeheer | A.8.8 | CC7.1 | Art. 21(2)(e) | Art. 8(3) |
| Beveiliging van componenten van derden | A.8.30 | CC9.2 | Art. 21(2)(d) | Art. 8(5) |
Auditbewijs
| Bewijstype | Beschrijving | Framework |
|---|---|---|
| Beleid voor veilige ontwikkeling | Gedocumenteerde SDLC met beveiligingsintegratiepunten | Alle frameworks |
| Beveiligingsconfiguratie van pipeline | CI/CD-pipeline met beveiligingsgates en scans | ISO 27001, SOC 2 |
| SAST/DAST-scanrapporten | Regelmatige scanresultaten met remediatiebewijs | Alle frameworks |
| Kwetsbaarheidsrapporten afhankelijkheden | SCA-rapporten met bekende kwetsbaarheden en patches | Alle frameworks |
| Code review-records | Pull request-beoordelingen met beveiligingsoverwegingen | ISO 27001, SOC 2 |
| Kwetsbaarheidsremediatierecords | Tickets die ontdekking-tot-oplossing-tijdlijn tonen | Alle frameworks |
| Bewijs van scheiding van omgevingen | Configuratie die dev/staging/productie-isolatie bewijst | ISO 27001, DORA |
Veelgemaakte fouten
| Fout | Risico | Oplossing |
|---|---|---|
| Beveiligingsscans maar geen handhaving | Kwetsbaarheden gedeployd ondanks detectie | Implementeer blokkerende gates voor kritieke/hoge bevindingen |
| Alleen scannen op main-branch | Kwetsbaarheden te laat in ontwikkeling gevonden | Scan bij elk pull request en feature-branch |
| Kwetsbaarheden in afhankelijkheden negeren | Bekende CVE's in productieapplicaties | Automatiseer afhankelijkheidsupdates met Dependabot/Renovate |
| Hardgecodeerde geheimen in code | Referentieblootstelling via versiebeheer | Pre-commit hooks met geheimdetectie, gebruik secrets managers |
| Geen scanning van containerimages | Kwetsbare basisimages in productie | Scan images bij build, in registries en bij admission |
| Beveiligingsteam als bottleneck | Ontwikkelaars omzeilen beveiliging om deadlines te halen | Self-service beveiligingstools, geautomatiseerde pipelines, ontwikkelaarstraining |
Hoe Orbiq DevSecOps-compliance ondersteunt
Orbiq helpt u veilige ontwikkelpraktijken aan te tonen:
- Bewijsverzameling — Centraliseer pipelineconfiguraties, scanrapporten en remediatierecords
- Continue monitoring — Volg DevSecOps-volwassenheid en kwetsbaarheidstrends
- Trust Center — Deel uw veilige ontwikkelhouding via uw Trust Center
- Compliancemapping — Koppel DevSecOps-controles aan ISO 27001, SOC 2, NIS2 en DORA
- Auditgereedheid — Kant-en-klare bewijspakketten voor auditorsbeoordeling
Verder lezen
- Kwetsbaarheidsbeheer — Kwetsbaarheden beheren in de gehele organisatie
- Toeleveringsketenbeveiliging — Componenten van derden beveiligen
- Cloud Security Posture Management — Cloudinfrastructuur beveiligen
- Encryptie — Geheimen en gegevens in transit beschermen
- Incidentrespons — Reageren op beveiligingskwetsbaarheden in productie
- Dreigingsmodellering — Dreigingen identificeren tijdens het ontwerp