Zoeken

Een dag met CI/CD specialist Robert Bralts

Man en vrouw in vergaderruimte met beeldscherm

CI/CD-specialist Robert Bralts werkt sinds 2015 bij DICTU. Als onderdeel van het team Software Release Ondersteuning (SRO) helpt hij DevOps-teams hun applicaties sneller, beter en vooral veiliger te ontwikkelen. “Ontwikkelteams laten zich vaak leiden door de waan van de dag. Wij helpen ze een stapje terug te doen en de manier waarop zij software ontwikkelen effectiever in te vullen.”

Bralts werkt ongeveer de helft van de week thuis en de andere helft op kantoor. Vandaag springt Bralts na het ontbijt met zijn gezin op zijn elektrische fiets naar het kantoor in Assen. “De eerste halte na driekwartier fietsen? Bijna altijd het koffieapparaat”, vertelt Bralts lachend. “Even mijn collega’s begroeten en samen een bakkie koffie halen voor de stand-up met de medewerkers van het SRO-team om 8.30 uur.”


 

CI/CD-platform voor veilige software ontwikkeling

Om 9.00 uur heeft Bralts (links op de foto) zijn eerste overleg. “Ons team ontwikkelt, onderhoudt en vernieuwt het CI/CD-platform van DICTU. CI/CD staat voor Continuous Integration/Continuous Deployment. Het doel van CI/CD is om een duidelijke en geautomatiseerde manier te creëren voor het ontwikkelen, bouwen en testen van applicaties.Op dit platform kan bijvoorbeeld een ontwikkelaar via een aantal geautomatiseerde stappen sneller, betrouwbaarder en veiliger software ontwikkelen. In dit geval adviseer ik een DICTU-team dat nog geen gebruik maakt van onze diensten. Ik laat zien hoe het platform eruitziet, hoe we hen kunnen helpen en vooral wat de voordelen ervan zijn. Door gebruik te maken van ons platform wordt veiligheid en kwaliteit een vast onderdeel aan het begin van het ontwikkelproces in plaats van aan het einde. Daarmee verhoogt een ontwikkelteam zijn softwarekwaliteit én bespaart het op tijd en kosten omdat eventuele kwetsbaarheden en bevindingen vroeg in het proces worden vastgesteld. Robin Ventura (rechts op de foto), technical support in het team van Bralts, vult aan: “Dit doen we niet alleen voor DICTU-teams. Klanten als de Nederlandse Voedsel- en Warenautoriteit (NVWA) en Rijksdienst voor Ondernemend Nederland (RVO) hebben zelf ook teams die software ontwikkelen. Zij kunnen bij DICTU het CI/CD-platform als dienst afnemen.

Robert Bralts en Robin Ventura

Toepassen van shift-leftsecurity

Na een korte lunch heeft Bralts een Teams-vergadering met een gecombineerd RVO-DICTU-team over hoe zij security effectief kunnen toepassen binnen de software die ze opleveren. “Dit team maakt al wel gebruik van ons platform maar zet nog niet alle functionaliteiten in, zoals securitytools waarmee ze bekende kwetsbaarheden vroegtijdig kunnen signaleren. Deze tools zijn gebaseerd op shift-leftsecurity, oftewel veiligheid zo vroeg mogelijk (links) in het ontwikkeltraject meenemen. Denk daarbij aan Static Application Security Testing (SAST) voor de analyse van broncode en uitvoerbare code en Dynamic Application Security Testing (DAST) voor het opsporen van kwetsbaarheden in de beveiliging van werkende applicaties. Alle kwetsbaarheden die je vroegtijdig uit software haalt, komen niet meer in de acceptatie- of productieomgeving terecht. Een pentester, die gespecialiseerde securitytesten uitvoert, kan zich hierdoor concentreren op de complexe testgevallen. Dit draagt enorm bij aan de veiligheid van de software en maakt deze minder gevoelig voor hacks.”


Software ontwikkelproces in kaart brengen en verbeteren 

Soms is er meer nodig dan alleen aansluiten op het CI/CD-platform om ontwikkelteams verder te helpen. In dat geval organiseren we één of meerdere Value Stream Mapping (VSM) sessies met het gehele DevOps-team, inclusief productowner en scrummaster. In deze sessie(s) tekenen we gezamenlijk het ontwikkelproces, van idee tot werkende software uit. Wij laten dan zien wat automatiseren zou kunnen opleveren en adviseren het team waar ze kunnen beginnen. Uiteraard helpen we het team met deze automatiseringsstappen. Hiermee is ons team een echte aanjager voor de ontwikkeling van moderne schaalbare applicaties, waarbij automatisering een must is.”

SBOM: componentenlijst bij elk applicatie

Aan het einde van de dag heeft Bralts nog een overleg met DUO over de ontwikkeling en implementatie van de Software Bill of Materials (SBOM). “Een SBOM laat zien welke componenten er in een applicatie zitten, het is een soort ingrediëntenlijst. Zodra bekend wordt dat in een bepaald component een kwetsbaarheid zit, kun je via een SBOM-analysetool met één druk op de knop inzichtelijk maken waar in het applicatielandschap dit component wordt gebruikt. En zo bepalen waar je dus kwetsbaar bent voor een hackaanval via dit component. Vanuit ons platform willen we een SBOM genereren voor elke applicatie die naar productie gaat. Ook DUO en het Centraal Justitieel Incasso Bureau zijn hiermee bezig. Als noordelijke overheidspartijen trekken we hierin samen op zodat we niet afzonderlijk het wiel hoeven uit te vinden.”

Entry

Dit artikel staat in Entry 2025. Ons DICTU relatiemagazine vol met interessante artikelen over onze klanten, onze collega's, IT-partners, duurzaamheid, informatiebeveiliging en de DICTU bedrijfsstrategie. Wil je meer lezen? Je kunt het digitaal lezen via de kiosk op deze website.