Biztonságos szoftverfejlesztés, a fejlesztés biztonsága, devsecops hívjuk bárhogy, végre úgy tűnik e két szakterület kezdi megtalálni a közös nevezőt. Nem volt ez mindig így, mert bár persze mindig fontos volt, hogy a programban legyen biztonság, de az leginkább magas szintű követelményekben és a fejlesztés vége felé egy penteszt formájában jelent meg. A párbeszéd leginkább két egymással ismerkedő (és nehezen boldoguló) civilizáció kapcsolatfelvételére hajazott: a magas szintű elvárások aprópénzre váltásában a fejlesztő magára maradt, a biztonsági csapat tudása a követelményeknél véget ért. Tehát nem maradt más, mint a vakrepülés, a hogyan kitalálása ahogy csak sikerül, majd a fejlesztés vége felé ismét jött a „biztonságos”, hozta a penteszterét, aki aztán megállapította, hogy sikerült megugrani a követelményeket vagy sem. Ha meg nem, akkor kaptak a pentesztertől taktikai tanácsokat, például: ügyelni kell az input ellenőrzésére. Ismét magas szinten, ugye. Nem azt mondjuk, hogy ez nem működött valahogy, nem lehetett így sikert elérni, de azt igen, hogy nem ez a leghatékonyabb módja a fejlesztésben a biztonság csinálásának. De szerencsére változnak a dolgok az elmúlt pár évben, amit jobb híján a devsecops fogalommal lehet megfogni. Ha egy informális mondatot kellene erről mondani, akkor azt jelenti, hogy a biztonsági szakemberek pár lépéssel közelebb mennek a fejlesztőkhöz. Sőt! Ha egy kicsit a témába vágóan olvasgatunk akkor az a hamis benyomásunk alakulhat ki, hogy ez már nem indult, hanem egy érett együttműködés, félszavak meg ilyesmi. Ezt ne higgyük el, mondja bár gyártó, szállító, partner, lássuk előadáson, kerekasztal beszélgetésen, webináron. Még az elején vagyunk, nagyon az elején…