Documenteren van software, moet een hardere eis zijn in DevSecOps-proces
Legacy is een hoofdpijndossier in veel organisaties van wat grotere omvang. Niet alleen hindert verouderde software de innovatie en continuïteit van bedrijfsprocessen, het vormt ook een probleem voor de beveiliging. Maar legacy is niet iets van het verleden. Er wordt veel te weinig gedocumenteerd, waarschuwen EY en McKinsey. Daarmee groeit gloednieuwe legacy.
© Shutterstock
Shutterstock
Ondanks dat het belang van documenteren een onderwerp is bij elke IT-opleiding, is bij de meeste ontwikkelteams het beschrijven van wat is gemaakt een ondergeschoven kindje. Het wordt niet alleen verwaarloosd maar in veel gevallen zelfs compleet overgeslagen. Het accent in ontwikkelteams ligt op het creëren van nieuwe functionaliteit. Dat is meetbaar, daar wordt het team op afgerekend en dat is het leukste en ook meest eervolle onderdeel voor de ontwikkelaars. Testen is al veel minder leuk, maar vaak nodig om de functionele problemen eruit te halen. Documenteren vormt doorgaans echter het minst leuke, niet bepaald glorieuze slotstuk.
Ontwikkelaars hebben er geen zin in en opdrachtgevers zien graag dat het project dat toch al zo lang in de wachtrij staat nu eindelijk eens wordt opgepakt. Voor organisaties die de opdracht geven, is zo'n houding erg opportunistisch. Op korte termijn lijkt de productiviteit omhoog te gaan, maar naarmate de opgeleverde software langer in gebruik is, neemt de beheerlast toe. Er moet langer gezocht worden naar informatie, bijvoorbeld over hoe de inmiddels vertrokken ontwikkelaar iets heeft bedacht. Ook kunnen fouten of kwetsbaarheden veel lastiger worden opgespoord. Daarmee gaat de aanvankelijke kostenbesparing door het snellere opleveren later dus flink verloren.
Oplossing zit in harde afspraken
Een van de uitdagingen van legacysystemen is een opeenstapeling van 'technical debt' die groeit met de tijd, verzucht David Burg, cybersecurity leader bij Ernst & Young Americas tegenover DarkReading. Wanneer systemen worden gebouwd gebeurt dat volgens de logische werkwijze die op dat moment gangbaar is, verklaart hij de gang van zaken. Documentatie over architectuur, interoperabiliteit en afhankelijkheden worden hoogstwaarschijnlijk nooit vastgelegd.
"Het is een cultureel fenomeen", zegt ook Ayman Al Issa bij McKinsey verantwoordelijk voor cybersecurity. "De waarde van documentatie wordt op het moment van ontwikkeling niet gezien. Mensen zijn daarom gemakzuchtig met het vastleggen van alles [rond ontwikkeling en wijzigingen van systemen - red]"
Burg ziet als enige uitkomst dat organisaties de vereisten voor een goede documentatie hard vastleggen in de eigen DevSecOps-procesomschrijvingen. "Dit gaat niet vanzelf gebeuren."
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee