BIO 12.01.01 ISO A.14.2.1

Agile Security Practices En Secure Development

📅 2025-01-15
⏱️ 25 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Agile Security Practices integreert beveiligingsprincipes en controles direct in agile development workflows door security requirements te definiëren als user stories, security testing te automatiseren in CI/CD-pipelines, en regelmatige security reviews uit te voeren tijdens sprint planning en retrospectives. Voor Nederlandse overheidsorganisaties is het essentieel dat beveiliging geen aparte fase is maar een integraal onderdeel van elke development sprint, waardoor beveiligingsproblemen vroeg worden gedetecteerd en opgelost voordat code in productie wordt gebracht.

Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
64u (tech: 40u)
Van toepassing op:
Azure DevOps
GitHub
Development Teams
CI/CD Pipelines

Traditionele development methodologieën behandelen beveiliging vaak als een aparte fase die pas aan het einde van het development proces wordt uitgevoerd, wat leidt tot dure en tijdrovende herstelacties wanneer beveiligingsproblemen worden ontdekt. In agile omgevingen waar code snel wordt ontwikkeld en frequent wordt gedeployed, kan deze aanpak leiden tot kritieke beveiligingslekken die pas worden ontdekt wanneer applicaties al in productie zijn. Zonder geïntegreerde security practices kunnen ontwikkelaars onbewust kwetsbaarheden introduceren, zoals SQL injection, cross-site scripting, onveilige authenticatie, of het lekken van gevoelige informatie. Deze kwetsbaarheden kunnen worden misbruikt door aanvallers om toegang te krijgen tot systemen, gegevens te stelen, of dienstverlening te verstoren. Voor Nederlandse overheidsorganisaties die moeten voldoen aan strikte compliance-vereisten zoals de BIO-normen, ISO 27001, of de NIS2-richtlijn, is het essentieel dat beveiliging vanaf het begin wordt meegenomen in development processen. Het ontbreken van agile security practices kan leiden tot niet-naleving van deze vereisten, wat kan resulteren in boetes, reputatieschade, of het verlies van vertrouwen bij burgers en stakeholders.

PowerShell Modules Vereist
Primary API: Azure DevOps REST API
Connection: Connect-AzAccount, az devops login
Required Modules: Az.Accounts, Az.DevOps

Implementatie

Agile Security Practices omvat het implementeren van een security-by-design benadering waarbij beveiligingsvereisten worden gedefinieerd als user stories die worden meegenomen in sprint planning, security testing wordt geautomatiseerd in CI/CD-pipelines zodat elke code commit automatisch wordt gescand op kwetsbaarheden, en regelmatige security reviews worden uitgevoerd tijdens sprint planning, daily stand-ups en retrospectives. Dit begint met het definiëren van security requirements die specifiek zijn voor de applicatie of service die wordt ontwikkeld, zoals authenticatie- en autorisatievereisten, data encryptie, input validatie, en secure coding practices. Deze requirements worden vertaald naar concrete user stories die worden toegevoegd aan de product backlog en worden behandeld zoals andere functionaliteit. Tijdens development worden secure coding guidelines gevolgd die zijn gebaseerd op best practices zoals de OWASP Top 10, en code reviews worden uitgevoerd met specifieke aandacht voor beveiligingsaspecten. In CI/CD-pipelines worden geautomatiseerde security scans uitgevoerd die code analyseren op kwetsbaarheden, dependencies controleren op bekende beveiligingslekken, en container images scannen op misconfiguraties. Security testing wordt geïntegreerd in de test suite zodat beveiligingstests automatisch worden uitgevoerd bij elke build. Tijdens sprint planning worden security stories geprioriteerd en toegewezen aan sprints, tijdens daily stand-ups wordt besproken of er beveiligingsproblemen zijn die aandacht vereisen, en tijdens retrospectives wordt geëvalueerd hoe beveiliging kan worden verbeterd in toekomstige sprints. Threat modeling wordt uitgevoerd voor nieuwe features om potentiële beveiligingsrisico's te identificeren voordat development begint, en security champions worden aangesteld binnen development teams om als eerste aanspreekpunt te dienen voor beveiligingsvragen.

Vereisten

Voordat Agile Security Practices kunnen worden geïmplementeerd, moeten organisaties verschillende essentiële vereisten vervullen om een succesvolle integratie van beveiliging in agile workflows te garanderen. De eerste en meest kritieke vereiste is het ontwikkelen van een security-by-design beleid dat expliciet definieert hoe beveiliging wordt geïntegreerd in agile development processen. Dit beleid moet worden ontwikkeld in samenwerking met verschillende stakeholders, waaronder security officers, development leads, product owners en scrum masters. Het beleid moet duidelijk maken hoe security requirements worden gedefinieerd als user stories, hoe security testing wordt geautomatiseerd, wie verantwoordelijk is voor security reviews, en hoe beveiligingsincidenten worden afgehandeld. Zonder een gedocumenteerd beleid bestaat het risico dat beveiliging inconsistently wordt toegepast, wat kan leiden tot gemiste beveiligingsvereisten of conflicten tussen development en security teams.

Een volledige inventarisatie van alle development tools, CI/CD-pipelines en security scanning tools is essentieel voordat het nieuwe security model wordt geïmplementeerd. Deze inventarisatie moet alle actieve repositories documenteren, welke CI/CD-pipelines bestaan, welke security tools momenteel worden gebruikt, en hoe deze tools zijn geïntegreerd in development workflows. Voor repositories moet worden vastgelegd welke programming languages worden gebruikt, welke frameworks en libraries worden gebruikt, en welke beveiligingsrisico's hieraan zijn verbonden. Voor CI/CD-pipelines moet worden gedocumenteerd welke build en deployment stappen worden uitgevoerd, waar security scans kunnen worden toegevoegd, en hoe security findings worden gerapporteerd. Deze inventarisatie vormt de basis voor het bepalen welke security tools moeten worden geïmplementeerd, waar security scans moeten worden toegevoegd, en hoe security findings moeten worden geïntegreerd in development workflows.

Security scanning tools moeten worden geselecteerd en geconfigureerd die geschikt zijn voor de programming languages en frameworks die worden gebruikt binnen de organisatie. Voor code analysis zijn tools zoals SonarQube, Checkmarx, of GitHub Advanced Security geschikt. Voor dependency scanning zijn tools zoals Snyk, WhiteSource, of GitHub Dependabot geschikt. Voor container scanning zijn tools zoals Trivy, Aqua Security, of Azure Defender for Containers geschikt. Deze tools moeten worden geconfigureerd om automatisch te worden uitgevoerd in CI/CD-pipelines, zodat elke code commit automatisch wordt gescand op kwetsbaarheden. De tools moeten worden geconfigureerd met passende thresholds en policies die bepalen wanneer builds moeten falen op basis van security findings, en findings moeten worden geïntegreerd in development tools zoals Azure DevOps of GitHub zodat ontwikkelaars direct feedback krijgen over beveiligingsproblemen.

Secure coding guidelines moeten worden ontwikkeld die specifiek zijn voor de programming languages en frameworks die worden gebruikt. Deze guidelines moeten zijn gebaseerd op best practices zoals de OWASP Top 10, CWE Top 25, en sectorspecifieke richtlijnen zoals de Nederlandse Baseline voor Veilige Cloud. De guidelines moeten concrete voorbeelden bevatten van veilige en onveilige code patterns, zodat ontwikkelaars duidelijk begrijpen hoe zij beveiligingsproblemen kunnen voorkomen. De guidelines moeten worden gedocumenteerd in een centrale locatie die gemakkelijk toegankelijk is voor alle ontwikkelaars, en moeten regelmatig worden bijgewerkt wanneer nieuwe beveiligingsrisico's worden geïdentificeerd of wanneer best practices veranderen.

Security champions moeten worden aangesteld binnen development teams om als eerste aanspreekpunt te dienen voor beveiligingsvragen en om te zorgen dat beveiliging wordt meegenomen in development beslissingen. Security champions moeten worden getraind in beveiligingsprincipes en secure coding practices, en moeten regelmatig communiceren met het centrale security team om op de hoogte te blijven van nieuwe beveiligingsrisico's en best practices. Elke development team moet minimaal één security champion hebben die verantwoordelijk is voor het promoten van beveiliging binnen het team en voor het escaleren van complexe beveiligingsvragen naar het centrale security team.

Implementatie

Gebruik PowerShell-script agile-security-practices.ps1 (functie Invoke-Remediation) – Configureert Agile Security Practices in Azure DevOps volgens best practices.

De implementatie van Agile Security Practices begint met het definiëren van security requirements als user stories die worden toegevoegd aan de product backlog. Security requirements moeten worden geformuleerd vanuit het perspectief van de gebruiker of de organisatie, bijvoorbeeld: 'Als een gebruiker wil ik dat mijn wachtwoord wordt versleuteld opgeslagen zodat mijn account beschermd is tegen ongeautoriseerde toegang'. Deze user stories worden behandeld zoals andere functionaliteit en worden geprioriteerd op basis van risico en business impact. Security stories moeten worden toegevoegd aan sprints tijdens sprint planning, en moeten worden voltooid voordat features worden vrijgegeven naar productie. Product owners en scrum masters moeten worden getraind in het identificeren en prioriteren van security requirements, zodat beveiliging niet wordt overgeslagen in het streven naar snelle feature delivery.

Secure coding guidelines moeten worden geïmplementeerd in development workflows door deze te documenteren in een centrale locatie, door code review templates te ontwikkelen die specifieke aandacht vragen voor beveiligingsaspecten, en door ontwikkelaars te trainen in secure coding practices. Code reviews moeten worden uitgevoerd met specifieke aandacht voor beveiligingsaspecten, waarbij reviewers controleren op common vulnerabilities zoals SQL injection, cross-site scripting, onveilige authenticatie, of het lekken van gevoelige informatie. Reviewers moeten worden getraind in het identificeren van beveiligingsproblemen en moeten toegang hebben tot secure coding guidelines en security best practices. Code reviews moeten worden verplicht voor alle code changes, en moeten worden voltooid voordat code wordt gemerged naar main branches.

Security scanning tools moeten worden geïntegreerd in CI/CD-pipelines zodat elke code commit automatisch wordt gescand op kwetsbaarheden. Voor code analysis moeten tools zoals SonarQube of Checkmarx worden geconfigureerd om automatisch te worden uitgevoerd tijdens build processes, waarbij code wordt geanalyseerd op beveiligingsproblemen en code quality issues. Voor dependency scanning moeten tools zoals Snyk of GitHub Dependabot worden geconfigureerd om automatisch te worden uitgevoerd, waarbij dependencies worden gecontroleerd op bekende beveiligingslekken. Voor container scanning moeten tools zoals Trivy of Aqua Security worden geconfigureerd om automatisch te worden uitgevoerd wanneer container images worden gebouwd, waarbij images worden gescand op misconfiguraties en bekende kwetsbaarheden. De tools moeten worden geconfigureerd met passende thresholds en policies die bepalen wanneer builds moeten falen op basis van security findings, bijvoorbeeld wanneer kritieke of hoge severity kwetsbaarheden worden gedetecteerd. Findings moeten worden geïntegreerd in development tools zoals Azure DevOps of GitHub zodat ontwikkelaars direct feedback krijgen over beveiligingsproblemen, en moeten worden gerapporteerd aan security teams voor tracking en remediatie.

Security testing moet worden geïntegreerd in de test suite zodat beveiligingstests automatisch worden uitgevoerd bij elke build. Dit omvat unit tests die controleren op beveiligingsproblemen zoals input validation, authentication en authorization, en integration tests die controleren op beveiligingsproblemen zoals API security, session management, en data protection. Penetration testing moet regelmatig worden uitgevoerd voor kritieke applicaties, waarbij externe security experts proberen om beveiligingslekken te vinden die niet worden gedetecteerd door geautomatiseerde scans. De resultaten van security testing moeten worden gedocumenteerd en moeten worden gebruikt om beveiligingsverbeteringen te prioriteren in toekomstige sprints.

Threat modeling moet worden uitgevoerd voor nieuwe features om potentiële beveiligingsrisico's te identificeren voordat development begint. Threat modeling sessies moeten worden georganiseerd tijdens sprint planning of feature design, waarbij development teams, security teams, en product owners samenwerken om te identificeren welke bedreigingen relevant zijn voor de nieuwe feature, welke beveiligingscontroles nodig zijn om deze bedreigingen te mitigeren, en hoe deze controles kunnen worden geïmplementeerd. De resultaten van threat modeling moeten worden gedocumenteerd en moeten worden gebruikt om security requirements te definiëren die worden toegevoegd aan de product backlog. Threat modeling moet worden uitgevoerd voor alle nieuwe features die gevoelige gegevens verwerken, externe APIs aanroepen, of gebruikersauthenticatie vereisen.

Security reviews moeten worden uitgevoerd tijdens sprint planning, daily stand-ups en retrospectives. Tijdens sprint planning moeten security stories worden geprioriteerd en toegewezen aan sprints, en moet worden besproken welke beveiligingsrisico's relevant zijn voor de features die in de sprint worden ontwikkeld. Tijdens daily stand-ups moet worden besproken of er beveiligingsproblemen zijn die aandacht vereisen, en moet worden geëvalueerd of security stories op schema liggen. Tijdens retrospectives moet worden geëvalueerd hoe beveiliging kan worden verbeterd in toekomstige sprints, welke beveiligingsproblemen zijn opgetreden, en hoe deze kunnen worden voorkomen. Security teams moeten regelmatig deelnemen aan sprint planning en retrospectives om te zorgen dat beveiliging wordt meegenomen in development beslissingen.

Compliance en Auditing

Agile Security Practices is essentieel voor naleving van verschillende compliance-vereisten die van toepassing zijn op Nederlandse organisaties, met name in de publieke sector. De Baseline Informatiebeveiliging Overheid (BIO) bevat in Thema 12.01 specifieke vereisten voor secure development en secure coding practices. Dit thema vereist dat organisaties beveiliging integreren in development processen, dat code wordt gereviewed op beveiligingsaspecten, en dat security testing wordt uitgevoerd voordat applicaties in productie worden gebracht. Agile Security Practices implementeert deze vereisten door security-by-design te integreren in agile workflows, door geautomatiseerde security scanning in CI/CD-pipelines, en door regelmatige security reviews tijdens sprint planning en retrospectives. Voor overheidsorganisaties die moeten voldoen aan BIO-normen is documentatie van security requirements, security testing resultaten, en security reviews een essentieel onderdeel van audit-evidentie.

ISO 27001:2022 bevat in controle A.14.2.1 specifieke vereisten voor secure development policies, waarbij organisaties moeten zorgen dat beveiliging wordt geïntegreerd in development processen. Controle A.14.2.5 vereist dat organisaties security testing uitvoeren tijdens development en voordat applicaties in productie worden gebracht. Agile Security Practices implementeert beide controles door security-by-design te integreren in agile workflows, door geautomatiseerde security scanning in CI/CD-pipelines, en door security testing te integreren in test suites. De auditlogs die worden gegenereerd door security scanning tools en CI/CD-pipelines kunnen worden gebruikt als audit-evidentie om aan te tonen dat organisaties proactief beveiliging integreren in development processen.

De NIS2-richtlijn vereist in Artikel 21 dat organisaties passende maatregelen treffen voor beveiliging van systemen en diensten, waarbij secure development een essentieel onderdeel vormt. De richtlijn benadrukt het belang van security-by-design, waarbij beveiliging vanaf het begin wordt meegenomen in development processen. Agile Security Practices implementeert dit principe door security requirements te definiëren als user stories, door security testing te automatiseren, en door regelmatige security reviews uit te voeren. Voor organisaties die onder NIS2 vallen is het daarom niet alleen aanbevolen maar verplicht om beveiliging te integreren in development processen voor alle kritieke systemen en diensten.

De Algemene Verordening Gegevensbescherming (AVG) vereist in Artikel 32 dat organisaties passende technische en organisatorische maatregelen implementeren om persoonsgegevens te beschermen, waarbij secure development een essentieel onderdeel vormt. Wanneer applicaties worden ontwikkeld die persoonsgegevens verwerken, is het essentieel dat beveiliging wordt geïntegreerd in development processen om te voorkomen dat kwetsbaarheden worden geïntroduceerd die kunnen leiden tot datalekken. Agile Security Practices zorgt ervoor dat beveiliging wordt meegenomen in elke development sprint, dat security testing wordt uitgevoerd voordat code in productie wordt gebracht, en dat beveiligingsproblemen vroeg worden gedetecteerd en opgelost.

Monitoring

Gebruik PowerShell-script agile-security-practices.ps1 (functie Invoke-Monitoring) – Controleert de implementatie en effectiviteit van Agile Security Practices.

Effectieve monitoring van Agile Security Practices is essentieel om te waarborgen dat beveiliging correct wordt geïntegreerd in development workflows en dat organisaties altijd beschikken over actuele informatie over beveiligingsstatus van applicaties en code. Monitoring omvat het continu volgen van security scanning results, het verifiëren dat security tests worden uitgevoerd, het controleren van de effectiviteit van security reviews, en het waarborgen dat alle beveiligingsvereisten worden nageleefd.

Security scanning tools vormen het centrale punt voor monitoring van code beveiliging. Deze tools genereren rapporten die informatie bevatten over gedetecteerde kwetsbaarheden, severity levels, en aanbevolen remediatie-acties. Configureer dashboards die een overzicht bieden van security findings across alle repositories en projects, waarbij trends worden geïdentificeerd en problemen worden geprioriteerd. Stel waarschuwingen in voor kritieke of hoge severity kwetsbaarheden die worden gedetecteerd, zodat security teams onmiddellijk kunnen worden geïnformeerd wanneer belangrijke beveiligingsproblemen worden gevonden. Genereer wekelijkse of maandelijkse rapporten die een overzicht bieden van security status, trends, en verbeterpunten.

Monitor regelmatig of security tests worden uitgevoerd in CI/CD-pipelines en of deze tests slagen. Configureer waarschuwingen die worden gegenereerd wanneer security tests falen of wanneer security scans niet worden uitgevoerd. Verifieer dat alle repositories security scanning hebben geconfigureerd en dat alle CI/CD-pipelines security tests bevatten. Review regelmatig security test results om te identificeren welke beveiligingsproblemen het meest voorkomen en welke verbeteringen nodig zijn in secure coding guidelines of security training.

Voer regelmatig security reviews uit om te verifiëren dat security requirements worden meegenomen in sprint planning en dat security stories worden voltooid. Tijdens reviews moeten alle security stories worden gecontroleerd, inclusief of zij correct zijn geprioriteerd, of zij op schema liggen, en of zij zijn voltooid voordat features worden vrijgegeven. Review ook of threat modeling wordt uitgevoerd voor nieuwe features en of de resultaten worden gebruikt om security requirements te definiëren. Tijdens reviews moeten trends worden geïdentificeerd, zoals welke beveiligingsproblemen het meest voorkomen, welke security stories worden overgeslagen, en welke verbeteringen nodig zijn in security processes.

Genereer maandelijks compliance-rapporten die een overzicht bieden van de security status van development processen. Deze rapporten moeten informatie bevatten over het aantal security findings per repository, het aantal security stories dat is voltooid, het aantal security tests dat is uitgevoerd, en eventuele afwijkingen of problemen die zijn geïdentificeerd. Deze rapporten kunnen worden gebruikt voor management reporting, audit-doeleinden, en voor het identificeren van trends of verbeterpunten. Rapporten moeten worden gedistribueerd naar relevante stakeholders, zoals security officers, development leads, en product owners.

Remediatie

Gebruik PowerShell-script agile-security-practices.ps1 (functie Invoke-Remediation) – Herstelt Agile Security Practices configuraties naar de gewenste staat.

Wanneer tijdens monitoring wordt vastgesteld dat Agile Security Practices niet correct zijn geïmplementeerd of dat beveiligingsproblemen niet worden gedetecteerd, moet direct actie worden ondernomen om de beveiliging te herstellen. Het remediatieproces begint met het identificeren van de specifieke problemen, zoals repositories zonder security scanning, CI/CD-pipelines zonder security tests, of security stories die worden overgeslagen. Prioriteer problemen op basis van risico en bedrijfskritiek, waarbij hoog-risico problemen zoals repositories zonder security scanning of kritieke kwetsbaarheden die niet worden gedetecteerd onmiddellijk moeten worden aangepakt.

Voor repositories zonder security scanning moet security scanning worden geconfigureerd in CI/CD-pipelines. Dit omvat het toevoegen van security scanning tools aan build processes, het configureren van thresholds en policies, en het integreren van findings in development tools. Wanneer security scanning wordt toegevoegd aan bestaande repositories, moet worden gecommuniceerd met development teams om uit te leggen wat de nieuwe vereisten zijn en hoe zij hieraan kunnen voldoen. Verifieer dat security scanning correct werkt door test scans uit te voeren en door te controleren of findings correct worden gerapporteerd.

Voor CI/CD-pipelines zonder security tests moeten security tests worden toegevoegd aan test suites. Dit omvat het ontwikkelen van security test cases, het integreren van security tests in CI/CD-pipelines, en het configureren van waarschuwingen die worden gegenereerd wanneer security tests falen. Wanneer security tests worden toegevoegd aan bestaande pipelines, moet worden gecommuniceerd met development teams om uit te leggen wat de nieuwe vereisten zijn en hoe zij hieraan kunnen voldoen. Verifieer dat security tests correct werken door test runs uit te voeren en door te controleren of results correct worden gerapporteerd.

Voor security stories die worden overgeslagen moeten deze worden geprioriteerd en toegewezen aan sprints. Dit omvat het identificeren van overgeslagen security stories, het evalueren van risico en business impact, en het toewijzen van stories aan toekomstige sprints. Wanneer security stories worden toegevoegd aan sprints, moet worden gecommuniceerd met development teams om uit te leggen waarom deze stories belangrijk zijn en hoe zij bijdragen aan beveiliging. Verifieer dat security stories worden voltooid voordat features worden vrijgegeven naar productie.

Documenteer alle remediatie-activiteiten, inclusief welke problemen zijn geïdentificeerd, welke acties zijn ondernomen, wie verantwoordelijk was voor de remediatie, en wanneer de remediatie is voltooid. Deze documentatie is essentieel voor audit-doeleinden en voor het aantonen dat organisaties proactief omgaan met beveiligingsproblemen. Verifieer na remediatie dat de problemen daadwerkelijk zijn opgelost door de configuratie opnieuw te controleren en door te monitoren of er geen nieuwe problemen ontstaan.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Agile Security Practices Monitoring en Remediatie .DESCRIPTION Monitort en beheert de implementatie van Agile Security Practices in Azure DevOps, inclusief security scanning in CI/CD-pipelines, secure coding guidelines, en security reviews tijdens sprint planning en retrospectives. .NOTES Filename: agile-security-practices.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.DevOps [CmdletBinding()] param( [Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [Parameter()][switch]$Revert, [switch]$WhatIf ) $ErrorActionPreference = 'Stop' Write-Host "`n========================================`nAgile Security Practices`n========================================`n" -ForegroundColor Cyan function Connect-RequiredServices { if (-not (Get-AzContext)) { Connect-AzAccount | Out-Null } if (-not (Get-AzDevOpsContext)) { $orgUrl = Read-Host "Voer Azure DevOps organisatie URL in (bijv. https://dev.azure.com/yourorg)" az devops login --organization $orgUrl } } function Test-AgileSecurityPractices { param( [string]$OrganizationUrl, [string]$ProjectName ) $result = @{ isCompliant = $false issues = @() repositoriesWithoutSecurityScanning = 0 pipelinesWithoutSecurityTests = 0 repositoriesWithoutBranchPolicies = 0 totalRepositories = 0 totalPipelines = 0 } try { # Check repositories for security scanning if ($ProjectName) { $repos = az repos list --organization $OrganizationUrl --project $ProjectName | ConvertFrom-Json $result.totalRepositories = $repos.Count foreach ($repo in $repos) { # Check if repository has branch policies (indicator of security practices) $branchPolicies = az repos policy list --organization $OrganizationUrl --project $ProjectName --repository-id $repo.id | ConvertFrom-Json if ($branchPolicies.Count -eq 0) { $result.issues += "Repository $($repo.name) heeft geen branch policies geconfigureerd" $result.repositoriesWithoutBranchPolicies++ } # Note: Actual security scanning detection would require checking pipeline YAML files # This is a simplified check - in production, you would parse pipeline definitions $result.repositoriesWithoutSecurityScanning++ } # Check pipelines for security tests $pipelines = az pipelines list --organization $OrganizationUrl --project $ProjectName | ConvertFrom-Json $result.totalPipelines = $pipelines.Count foreach ($pipeline in $pipelines) { # Note: Actual security test detection would require checking pipeline YAML files # This is a simplified check - in production, you would parse pipeline definitions $result.pipelinesWithoutSecurityTests++ } # Check for security-related work items (security stories) $workItems = az boards work-item query --wiql "SELECT [System.Id] FROM WorkItems WHERE [System.TeamProject] = '$ProjectName' AND [System.Tags] CONTAINS 'security'" --organization $OrganizationUrl | ConvertFrom-Json if ($workItems.Count -eq 0) { $result.issues += "Geen security-gerelateerde work items gevonden in project $ProjectName" } } # Determine compliance if ($result.issues.Count -eq 0 -and $result.repositoriesWithoutBranchPolicies -eq 0) { $result.isCompliant = $true } return $result } catch { Write-Host "Fout bij het controleren van Agile Security Practices: $_" -ForegroundColor Red throw } } function Invoke-Monitoring { try { Write-Host "Monitoring:" -ForegroundColor Yellow Connect-RequiredServices $orgUrl = Read-Host "Voer Azure DevOps organisatie URL in (bijv. https://dev.azure.com/yourorg)" $projectName = Read-Host "Voer project naam in (optioneel, druk Enter om over te slaan)" if ([string]::IsNullOrWhiteSpace($projectName)) { $projectName = $null } $result = Test-AgileSecurityPractices -OrganizationUrl $orgUrl -ProjectName $projectName Write-Host "`nAgile Security Practices Status:" -ForegroundColor Cyan Write-Host " Totaal repositories: $($result.totalRepositories)" -ForegroundColor White Write-Host " Totaal pipelines: $($result.totalPipelines)" -ForegroundColor White Write-Host " Repositories zonder branch policies: $($result.repositoriesWithoutBranchPolicies)" -ForegroundColor $(if ($result.repositoriesWithoutBranchPolicies -eq 0) { "Green" } else { "Yellow" }) Write-Host " Repositories zonder security scanning: $($result.repositoriesWithoutSecurityScanning)" -ForegroundColor $(if ($result.repositoriesWithoutSecurityScanning -eq 0) { "Green" } else { "Yellow" }) Write-Host " Pipelines zonder security tests: $($result.pipelinesWithoutSecurityTests)" -ForegroundColor $(if ($result.pipelinesWithoutSecurityTests -eq 0) { "Green" } else { "Yellow" }) if ($result.issues.Count -gt 0) { Write-Host "`nGeïdentificeerde problemen:" -ForegroundColor Yellow foreach ($issue in $result.issues) { Write-Host " - $issue" -ForegroundColor Yellow } } Write-Host "`nAanbevelingen:" -ForegroundColor Cyan Write-Host " • Configureer security scanning tools (SonarQube, Snyk, etc.) in CI/CD-pipelines" -ForegroundColor White Write-Host " • Implementeer branch policies voor code reviews" -ForegroundColor White Write-Host " • Voeg security tests toe aan test suites" -ForegroundColor White Write-Host " • Definieer security requirements als user stories" -ForegroundColor White Write-Host " • Stel security champions aan binnen development teams" -ForegroundColor White Write-Host "`n" -ForegroundColor Cyan if ($result.isCompliant) { Write-Host "COMPLIANT" -ForegroundColor Green exit 0 } else { Write-Host "NON-COMPLIANT" -ForegroundColor Red exit 1 } } catch { Write-Host "ERROR: $_" -ForegroundColor Red exit 2 } } function Invoke-Remediation { try { Write-Host "Remediatie:" -ForegroundColor Yellow Connect-RequiredServices $orgUrl = Read-Host "Voer Azure DevOps organisatie URL in (bijv. https://dev.azure.com/yourorg)" $projectName = Read-Host "Voer project naam in" $result = Test-AgileSecurityPractices -OrganizationUrl $orgUrl -ProjectName $projectName if ($result.isCompliant) { Write-Host "Geen remediatie nodig - configuratie is compliant" -ForegroundColor Green exit 0 } Write-Host "`nRemediatie-acties:" -ForegroundColor Cyan # Remediate repositories without branch policies if ($result.repositoriesWithoutBranchPolicies -gt 0) { Write-Host " Configureren van branch policies voor repositories..." -ForegroundColor Yellow $repos = az repos list --organization $orgUrl --project $projectName | ConvertFrom-Json foreach ($repo in $repos) { $branchPolicies = az repos policy list --organization $orgUrl --project $projectName --repository-id $repo.id | ConvertFrom-Json if ($branchPolicies.Count -eq 0) { Write-Host " Configureren branch policy voor $($repo.name)..." -ForegroundColor White Write-Host " [INFO] Branch policies moeten handmatig worden geconfigureerd via Azure DevOps Portal" -ForegroundColor Yellow Write-Host " [INFO] Navigeer naar: Repos > $($repo.name) > Branches > main > Branch policies" -ForegroundColor Yellow Write-Host " [INFO] Configureer minimaal: Require a minimum number of reviewers (2)" -ForegroundColor Yellow Write-Host " [INFO] Configureer: Require linked work items" -ForegroundColor Yellow Write-Host " [INFO] Configureer: Build validation (security scanning)" -ForegroundColor Yellow } } } # Remediate pipelines without security tests if ($result.pipelinesWithoutSecurityTests -gt 0) { Write-Host " Toevoegen van security scanning aan pipelines..." -ForegroundColor Yellow Write-Host " [INFO] Security scanning moet worden toegevoegd aan pipeline YAML bestanden" -ForegroundColor Yellow Write-Host " [INFO] Overweeg het gebruik van:" -ForegroundColor Yellow Write-Host " - SonarQube voor code analysis" -ForegroundColor White Write-Host " - Snyk of GitHub Dependabot voor dependency scanning" -ForegroundColor White Write-Host " - Trivy of Aqua Security voor container scanning" -ForegroundColor White Write-Host " [INFO] Voeg security scanning toe als build step in pipeline YAML" -ForegroundColor Yellow } Write-Host "`nAanbevolen volgende stappen:" -ForegroundColor Cyan Write-Host " 1. Documenteer security-by-design beleid" -ForegroundColor White Write-Host " 2. Ontwikkel secure coding guidelines" -ForegroundColor White Write-Host " 3. Configureer security scanning tools in CI/CD-pipelines" -ForegroundColor White Write-Host " 4. Stel security champions aan binnen development teams" -ForegroundColor White Write-Host " 5. Voer threat modeling uit voor nieuwe features" -ForegroundColor White Write-Host " 6. Integreer security reviews in sprint planning en retrospectives" -ForegroundColor White Write-Host "`nRemediatie voltooid. Voer monitoring opnieuw uit om te verifiëren." -ForegroundColor Green exit 0 } catch { Write-Host "ERROR: $_" -ForegroundColor Red exit 2 } } function Invoke-Revert { try { Write-Host "Revert:" -ForegroundColor Yellow Write-Host " [INFO] Revert functionaliteit is niet beschikbaar voor deze control" -ForegroundColor Yellow Write-Host " [INFO] Wijzigingen moeten handmatig worden teruggedraaid via Azure DevOps Portal" -ForegroundColor Yellow exit 0 } catch { Write-Host "ERROR: $_" -ForegroundColor Red exit 2 } } # ================================================================================ # Standaard Invoke-* Functions (Auto-generated) # ================================================================================ function Invoke-Implementation { <# .SYNOPSIS Implementeert de configuratie #> [CmdletBinding()] param() Invoke-Remediation } try { if ($Revert) { Invoke-Revert } elseif ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { Invoke-Remediation } else { Write-Host "Use: -Monitoring | -Remediation | -Revert" -ForegroundColor Yellow } } catch { throw } finally { Write-Host "`n========================================`n" -ForegroundColor Cyan }

Risico zonder implementatie

Risico zonder implementatie
High: Zonder geïntegreerde security practices in agile workflows kunnen ontwikkelaars onbewust kwetsbaarheden introduceren die pas worden ontdekt wanneer applicaties al in productie zijn. Dit leidt tot dure en tijdrovende herstelacties, potentiële beveiligingsincidenten, en niet-naleving van compliance-vereisten zoals de BIO-normen, ISO 27001, of de NIS2-richtlijn. Het ontbreken van security-by-design kan leiden tot kritieke beveiligingslekken die kunnen worden misbruikt door aanvallers om toegang te krijgen tot systemen, gegevens te stelen, of dienstverlening te verstoren.

Management Samenvatting

Agile Security Practices integreert beveiligingsprincipes direct in agile development workflows door security requirements als user stories te definiëren, security testing te automatiseren in CI/CD-pipelines, en regelmatige security reviews uit te voeren. Configureer security scanning tools in CI/CD-pipelines, implementeer secure coding guidelines, voer threat modeling uit voor nieuwe features, en stel security champions aan binnen development teams. Implementatie: 64 uur. Essentieel voor compliance met BIO, ISO 27001 en NIS2.