DevSecOps Overzicht¶

v0.1.0 active

Wat is DevSecOps?¶

DevSecOps staat voor Development + Security + Operations. Het betekent dat beveiliging niet achteraf wordt toegevoegd, maar ingebouwd is in elke stap van het ontwikkelproces.

Vergelijk het met het bouwen van een huis: je bouwt de branddeuren en het alarm er meteen in, in plaats van ze later toe te voegen.

De vijf beveiligingstools¶

Het platform gebruikt 5 tools die automatisch de code controleren. Elke tool zoekt naar een ander type probleem.

Code wijziging

1. ShellCheck Script controle Fouten in shell scripts

2. Gitleaks Geheimen scanner Wachtwoorden in code?

3. Trivy Kwetsbaarheden Bekende lekken zoeken

4. Semgrep Code patronen Onveilige constructies

5. Checkov Infra controle Server instellingen

Resultaat PASS / FAIL per tool gerapporteerd

Deploy naar productie

Geblokkeerd eerst oplossen

Alle 5 tools moeten slagen voordat code naar productie gaat Draait automatisch bij elke code-wijziging + dagelijkse scan om 01:00-03:30 uur

De vijf tools uitgelegd¶

1. ShellCheck — Script controle¶

Wat doet het? Controleert alle shell scripts (.sh bestanden) op fouten en slechte patronen.

Voorbeeld van wat het vindt:

Vergelijking: zoals een spellingcontrole, maar dan voor scripts.

2. Gitleaks — Geheimen scanner¶

Wat doet het? Zoekt in alle code naar wachtwoorden, API-sleutels, tokens en andere geheimen die er per ongeluk in terecht zijn gekomen.

Voorbeeld van wat het vindt:

Vergelijking: zoals een metaaldetector die zoekt naar sleutels die je per ongeluk hebt laten vallen.

Regel: wachtwoorden en sleutels horen alleen in de Scaleway Secret Manager, nooit in de code.

3. Trivy — Kwetsbaarheden scanner¶

Wat doet het? Controleert alle gebruikte softwarepakketten en container images op bekende beveiligingslekken.

Voorbeeld van wat het vindt:

Vergelijking: zoals een APK-keuring, maar dan voor software. Zit er een bekend defect in? Dan moet het gerepareerd worden.

4. Semgrep — Code patronen analyse¶

Wat doet het? Zoekt in de broncode naar patronen die een beveiligingsrisico vormen, zoals SQL-injectie of onveilige invoerverwerking.

Voorbeeld van wat het vindt:

Vergelijking: zoals een bouwkundig inspecteur die kijkt of de constructie veilig is, niet alleen of het er goed uitziet.

Let op: Semgrep draait met lokale regels (geen externe dienst) — alle analyse blijft binnen ons eigen systeem.

5. Checkov — Infrastructuur controle¶

Wat doet het? Controleert de serverinstellingen (OpenTofu/infrastructure-as-code) op beveiligingsfouten.

Voorbeeld van wat het vindt:

Vergelijking: zoals een brandweerinspectie van het gebouw zelf (niet de inhoud, maar de muren, deuren en sloten).

Wanneer draaien de controles?¶

Alle repositories in het platform worden gescand:

• dc-crews (databases, backups, jobs)
• pipe-crews (federatie hub)
• iv-crews (geheugen platform)
• bsw-crews (BSW domein)
• dc-gitops (Forgejo git server)

Wat als een tool een probleem vindt?¶

FAIL gevonden Tool meldt probleem

Code geblokkeerd Niet naar productie

Probleem opgelost Code aangepast

PASS Door naar productie

Code gaat NOOIT naar productie als een van de 5 tools een probleem meldt. Het probleem MOET eerst worden opgelost. Er is geen "overslaan" knop. Dit beschermt alle 8 databases en 11 domeinen tegen onveilige code.

EU-compliant¶

Alle tools draaien volledig lokaal op onze eigen servers (Scaleway, EU). Geen code of gegevens worden naar externe diensten gestuurd. Dit is belangrijk voor:

• AVG/GDPR — geen persoonsgegevens naar buiten
• Nederlandse overheidsstandaarden — EU data residency
• WOO — audittrail blijft intern

Verwant¶

• Backup Overzicht — Hoe de 4 backup lagen werken
• Hoe werkt herstel? — Wat gebeurt er als je gegevens kwijt bent
• Toegangsbeheer — Wie heeft toegang tot wat
• Privacy & Gegevens — AVG en data residency

Changelog¶