spinny:~/writing $ cat devsecops-shift-left-security-guide.md

DevSecOps voor Ontwikkelaars: Een Praktische Gids voor Shift-Left Security

2026-04-12 · 10 min read · Filippo Spinella · Security, DevOps, CI/CD, Cloud

Een kwetsbaarheid die tijdens het schrijven van code wordt ontdekt, kost een ontwikkelaar minuten om op te lossen. Dezelfde kwetsbaarheid die in productie wordt gevonden, kost een sprint. En als een aanvaller het eerst vindt, kost het miljoenen. Dit is het kernargument achter shift-left security - beveiligingscontroles zo vroeg mogelijk in de ontwikkelingscyclus uitvoeren.

DevSecOps neemt dit idee en maakt er een praktijk van: beveiliging is geen aparte fase aan het einde, maar een continu proces dat verweven is met elke fase van de ontwikkeling - van de eerste regel code tot de productie-deployment.

De Kosten van Late Beveiliging

Het IBM Cost of a Data Breach Report heeft consequent aangetoond dat de kosten voor het oplossen van beveiligingsproblemen exponentieel stijgen naarmate ze later worden ontdekt:

Fase	Kosten om te herstellen	Tijd om te herstellen
IDE / Lokale ontwikkeling	Minuten	Seconden tot minuten
Code Review / PR	Uren	Minuten tot uren
CI/CD Pipeline	Dagen	Uren tot dagen
Staging / QA	Weken	Dagen
Productie	Maanden	Weken tot maanden
Na een aanval	Miljoenen ($)	Maanden tot jaren

De conclusie is duidelijk: elke fase die u beveiliging eerder plaatst, bespaart een orde van grootte aan kosten en tijd.

De DevSecOps Pipeline

Een volwassen DevSecOps pipeline integreert beveiligingscontroles in elke fase:

Laten we elke fase doorlopen met concrete tools en configuratie.

Fase 1: Beveiliging in de IDE

De snelste feedback-loop. Kwetsbaarheden opvangen voordat u het bestand zelfs maar opslaat.

Aanbevolen Tools

Semgrep: lichtgewicht statische analyse met community-regels voor OWASP-kwetsbaarheden
Snyk IDE Extension: real-time kwetsbaarheidsscanning voor dependencies
GitLens + GitLeaks: secrets detecteren in uw editor
ESLint Security Plugins: eslint-plugin-security voor Node.js, eslint-plugin-no-unsanitized voor DOM XSS

Voorbeeld: ESLint Security-configuratie

{
  "extends": ["eslint:recommended"],
  "plugins": ["security", "no-unsanitized"],
  "rules": {
    "security/detect-object-injection": "warn",
    "security/detect-non-literal-regexp": "warn",
    "security/detect-unsafe-regex": "error",
    "security/detect-buffer-noassert": "error",
    "security/detect-eval-with-expression": "error",
    "security/detect-no-csrf-before-method-override": "error",
    "security/detect-possible-timing-attacks": "warn",
    "no-unsanitized/method": "error",
    "no-unsanitized/property": "error"
  }
}

Fase 2: Pre-commit Hooks

De tweede verdedigingslinie. Draait automatisch voor elke commit en blokkeert gevaarlijke code voordat deze in de repository terechtkomt.

Gitleaks: Secrets opvangen voordat ze Git bereiken

De meest voorkomende beveiligingsfout in codebases is het committen van secrets - API keys, databasewachtwoorden, tokens. Zodra een secret in de git-geschiedenis terechtkomt, is het extreem moeilijk om het volledig te verwijderen (zelfs met force pushes kunnen forks en caches het behouden).

# .pre-commit-config.yaml
repos:
  - repo: https://github.com/gitleaks/gitleaks
    rev: v8.21.0
    hooks:
      - id: gitleaks

  - repo: https://github.com/semgrep/semgrep
    rev: v1.90.0
    hooks:
      - id: semgrep
        args: ['--config', 'auto']

Installeren en activeren:

pip install pre-commit
pre-commit install

Nu scant elke git commit automatisch op gelekte secrets en veelvoorkomende kwetsbaarheden. Als er iets wordt gevonden, wordt de commit geblokkeerd.

Aangepaste Gitleaks-regels

U kunt aangepaste patronen toevoegen voor de secrets van uw organisatie:

# .gitleaks.toml
title = "Custom Gitleaks Config"

[[rules]]
id = "internal-api-key"
description = "Internal API key detected"
regex = '''INTERNAL_KEY_[A-Za-z0-9]{32}'''
tags = ["key", "internal"]

Fase 3: CI/CD Pipeline Security

Hier wordt het zware werk gedaan. Uw CI pipeline moet bij elk pull request meerdere beveiligingsscans uitvoeren.

SAST (Static Application Security Testing)

SAST-tools analyseren broncode zonder deze uit te voeren en zoeken naar patronen die wijzen op kwetsbaarheden.

# .github/workflows/security.yml
name: Security Scan
on:
  pull_request:
    branches: [main]

jobs:
  sast:
    name: Static Analysis
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4

      - name: Run Semgrep
        uses: semgrep/semgrep-action@v1
        with:
          config: >-
            p/owasp-top-ten
            p/typescript
            p/nodejs
            p/react
          generateSarif: true

      - name: Upload SARIF
        uses: github/codeql-action/upload-sarif@v3
        with:
          sarif_file: semgrep.sarif

De Semgrep-ruleset p/owasp-top-ten vangt de meest voorkomende kwetsbaarheden op: SQL injection, XSS, SSRF, path traversal, insecure deserialization en meer.

SCA (Software Composition Analysis)

SCA scant uw dependencies op bekende kwetsbaarheden. Dit is cruciaal - meer dan 80% van de code in moderne applicaties komt uit open-source dependencies.

  dependency-scan:
    name: Dependency Audit
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4

      - name: Run Snyk
        uses: snyk/actions/node@master
        env:
          SNYK_TOKEN: ${{ secrets.SNYK_TOKEN }}
        with:
          args: --severity-threshold=high

      - name: npm audit
        run: npm audit --audit-level=high

Container Security met Trivy

Als u Docker images bouwt, is het scannen op kwetsbaarheden essentieel. Trivy is de populairste open-source container scanner.

  container-scan:
    name: Container Security
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4

      - name: Build image
        run: docker build -t my-app:${{ github.sha }} .

      - name: Run Trivy
        uses: aquasecurity/trivy-action@master
        with:
          image-ref: my-app:${{ github.sha }}
          format: 'sarif'
          output: 'trivy-results.sarif'
          severity: 'CRITICAL,HIGH'
          exit-code: '1'

      - name: Upload Trivy SARIF
        uses: github/codeql-action/upload-sarif@v3
        with:
          sarif_file: trivy-results.sarif

SBOM-generatie

Een Software Bill of Materials (SBOM) is een volledig overzicht van elke component in uw applicatie. Dit wordt steeds vaker vereist door compliance-frameworks en overheidsregelgeving (de US Executive Order on Cybersecurity schrijft SBOM voor bij federale software).

  sbom:
    name: Generate SBOM
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4

      - name: Generate SBOM with Syft
        uses: anchore/sbom-action@v0
        with:
          format: spdx-json
          output-file: sbom.spdx.json

      - name: Upload SBOM
        uses: actions/upload-artifact@v4
        with:
          name: sbom
          path: sbom.spdx.json

Fase 4: Veilige Docker Images

Een productie Docker image moet het principe van least privilege volgen. Zo ziet een geharde Dockerfile eruit:

# Build stage
FROM node:22-alpine AS builder
WORKDIR /app
COPY package.json package-lock.json ./
RUN npm ci
COPY . .
RUN npm run build

# Production stage
FROM node:22-alpine AS runner
WORKDIR /app

# Install dumb-init before dropping root
RUN apk add --no-cache dumb-init

# Don't run as root
RUN addgroup -S app && adduser -S app -G app

# Copy only what's needed
COPY --from=builder --chown=app:app /app/dist ./dist
COPY --from=builder --chown=app:app /app/node_modules ./node_modules
COPY --from=builder --chown=app:app /app/package.json ./

# Drop to non-root user
USER app
ENTRYPOINT ["dumb-init", "--"]

# Health check
HEALTHCHECK --interval=30s --timeout=3s --retries=3 \
  CMD wget -qO- http://localhost:3000/health || exit 1

EXPOSE 3000
CMD ["node", "dist/server.js"]

Belangrijke praktijken:

Gebruik multi-stage builds: de builder-fase bevat dev-dependencies; de runner-fase bevat alleen productiecode
Draai niet als root: maak een niet-root gebruiker aan en schakel over
Gebruik Alpine images: kleiner aanvalsoppervlak (minder pakketten standaard geinstalleerd)
Pin image-versies: node:22-alpine in plaats van node:latest om supply chain-aanvallen te voorkomen
Gebruik npm ci: deterministische installaties vanuit het lock-bestand, niet npm install

Fase 5: Secret Management

Hardgecodeerde secrets zijn de nummer een oorzaak van inbreuken bij door ontwikkelaars veroorzaakte incidenten.

Wat u NIET moet doen

// NEVER do this
const API_KEY = "sk-1234567890abcdef";
const DB_PASSWORD = "supersecret123";

const client = new Client({
  connectionString: `postgres://admin:${DB_PASSWORD}@db.example.com/prod`
});

Wat u in plaats daarvan moet doen

// Use environment variables
const client = new Client({
  connectionString: process.env.DATABASE_URL
});

// Or use a secret manager
import { SecretManagerServiceClient } from '@google-cloud/secret-manager';

const client = new SecretManagerServiceClient();
const [version] = await client.accessSecretVersion({
  name: 'projects/my-project/secrets/db-password/versions/latest',
});
const dbPassword = version.payload?.data?.toString();

Secret Management Hierarchie

De OWASP Top 10: Een Beknopt Overzicht

Elke ontwikkelaar zou de OWASP Top 10 moeten kennen. Samengevat:

#	Kwetsbaarheid	Wat het is	Preventie
1	Broken Access Control	Gebruikers die toegang krijgen tot bronnen waar ze geen toegang toe zouden moeten hebben	Standaard weigeren, serversijdig valideren
2	Cryptographic Failures	Zwakke encryptie, plaintext data	Sterke algoritmen gebruiken (AES-256, bcrypt), overal TLS
3	Injection	SQL, NoSQL, OS command injection	Geparametriseerde queries, invoervalidatie
4	Insecure Design	Gebrekkige architectuur	Threat modeling, veilige ontwerppatronen
5	Security Misconfiguration	Standaard inloggegevens, open cloud buckets	Geharde standaardwaarden, geautomatiseerde configuratie-audits
6	Vulnerable Components	Bekende CVEs in dependencies	SCA scanning, regelmatige updates
7	Auth Failures	Zwakke wachtwoorden, defecte sessies	MFA, rate limiting, veilig session management
8	Data Integrity Failures	Ongetekende updates, onbetrouwbare CI/CD	Code signing, SBOM, pipeline-integriteit
9	Logging Failures	Geen audit trail	Gestructureerd logging, alerting bij afwijkingen
10	SSRF	Server-side request forgery	Allowlist voor uitgaande URLs, invoer valideren

Volledige GitHub Actions Security Workflow

Een volledige, productieklare workflow die alles hierboven combineert:

# .github/workflows/security.yml
name: Security Pipeline
on:
  pull_request:
    branches: [main]
  push:
    branches: [main]

permissions:
  contents: read
  security-events: write

jobs:
  secrets-scan:
    name: Secret Detection
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4
        with:
          fetch-depth: 0
      - uses: gitleaks/gitleaks-action@v2
        env:
          GITHUB_TOKEN: ${{ secrets.GITHUB_TOKEN }}

  sast:
    name: Static Analysis (SAST)
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4
      - uses: semgrep/semgrep-action@v1
        with:
          config: p/owasp-top-ten p/typescript p/nodejs

  dependency-audit:
    name: Dependency Scan (SCA)
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4
      - uses: actions/setup-node@v4
        with:
          node-version: 22
      - run: npm ci
      - run: npm audit --audit-level=high
      - uses: snyk/actions/node@master
        env:
          SNYK_TOKEN: ${{ secrets.SNYK_TOKEN }}
        with:
          args: --severity-threshold=high
        continue-on-error: true

  container-scan:
    name: Container Scan
    runs-on: ubuntu-latest
    needs: [sast, dependency-audit]
    steps:
      - uses: actions/checkout@v4
      - run: docker build -t app:${{ github.sha }} .
      - uses: aquasecurity/trivy-action@master
        with:
          image-ref: app:${{ github.sha }}
          severity: CRITICAL,HIGH
          exit-code: '1'

  sbom:
    name: SBOM Generation
    runs-on: ubuntu-latest
    needs: [container-scan]
    steps:
      - uses: actions/checkout@v4
      - uses: anchore/sbom-action@v0
        with:
          format: spdx-json
          output-file: sbom.spdx.json

Metrics om bij te houden

Hoe weet u of uw DevSecOps-programma werkt? Houd deze metrics bij:

Mean Time to Remediate (MTTR): hoe snel u kwetsbaarheden oplost na detectie
Vulnerability Escape Rate: percentage kwetsbaarheden dat de productie bereikt
False Positive Rate: te veel false positives leiden tot alarmmoeheid en genegeerde waarschuwingen
Dependency Freshness: gemiddelde leeftijd van uw dependencies (ouder = grotere kans op bekende CVEs)
SBOM Coverage: percentage projecten met actuele SBOMs

Aan de slag: Een Praktisch Stappenplan

Probeer niet alles tegelijk te implementeren. Een gefaseerde aanpak werkt beter:

Conclusie

DevSecOps gaat niet over het toevoegen van meer tools aan uw pipeline - het gaat over het maken van beveiliging tot een natuurlijk onderdeel van hoe u software bouwt. Het doel is niet om elke PR te blokkeren met beveiligingswaarschuwingen, maar om ontwikkelaars snel feedback te geven zodat ze problemen kunnen oplossen terwijl de code nog vers in het geheugen zit.

Begin met de basis: pre-commit hooks voor secrets, dependency scanning in CI en container scanning voor Docker images. Vervolgens itereert u op basis van wat uw team nodig heeft.

Beveiliging is geen feature die u eenmalig levert. Het is een praktijk die u in elke commit inbouwt.

DevSecOps Starter Checklist:

Gitleaks pre-commit hooks geinstalleerd

.env en secret-bestanden in .gitignore

Semgrep SAST in CI pipeline

Snyk of npm audit voor dependency scanning

Trivy voor container image scanning

Niet-root gebruiker in Dockerfiles

Secrets in omgevingsvariabelen of secret manager

SBOM-generatie bij elke release

OWASP Top 10 bewustzijn in het hele team