Overslaan en naar de inhoud gaan

Documenteren van software, moet een hardere eis zijn in DevSecOps-proces

Legacy is een hoofdpijndossier in veel organisaties van wat grotere omvang. Niet alleen hindert verouderde software de innovatie en continuïteit van bedrijfsprocessen, het vormt ook een probleem voor de beveiliging. Maar legacy is niet iets van het verleden. Er wordt veel te weinig gedocumenteerd, waarschuwen EY en McKinsey. Daarmee groeit gloednieuwe legacy.
Verveeld
© Shutterstock
Shutterstock

Ondanks dat het belang van documenteren een onderwerp is bij elke IT-opleiding, is bij de meeste ontwikkelteams het beschrijven van wat is gemaakt een ondergeschoven kindje. Het wordt niet alleen verwaarloosd maar in veel gevallen zelfs compleet overgeslagen. Het accent in ontwikkelteams ligt op het creëren van nieuwe functionaliteit. Dat is meetbaar, daar wordt het team op afgerekend en dat is het leukste en ook meest eervolle onderdeel voor de ontwikkelaars. Testen is al veel minder leuk, maar vaak nodig om de functionele problemen eruit te halen. Documenteren vormt doorgaans echter het minst leuke, niet bepaald glorieuze slotstuk.

Ontwikkelaars hebben er geen zin in en opdrachtgevers zien graag dat het project dat toch al zo lang in de wachtrij staat nu eindelijk eens wordt opgepakt. Voor organisaties die de opdracht geven, is zo'n houding erg opportunistisch. Op korte termijn lijkt de productiviteit omhoog te gaan, maar naarmate de opgeleverde software langer in gebruik is, neemt de beheerlast toe. Er moet langer gezocht worden naar informatie, bijvoorbeld over hoe de inmiddels vertrokken ontwikkelaar iets heeft bedacht. Ook kunnen fouten of kwetsbaarheden veel lastiger worden opgespoord. Daarmee gaat de aanvankelijke kostenbesparing door het snellere opleveren later dus flink verloren.

Oplossing zit in harde afspraken

Een van de uitdagingen van legacysystemen is een opeenstapeling van 'technical debt' die groeit met de tijd, verzucht David Burg, cybersecurity leader bij Ernst & Young Americas tegenover DarkReading. Wanneer systemen worden gebouwd gebeurt dat volgens de logische werkwijze die op dat moment gangbaar is, verklaart hij de gang van zaken. Documentatie over architectuur, interoperabiliteit en afhankelijkheden worden hoogstwaarschijnlijk nooit vastgelegd.

"Het is een cultureel fenomeen", zegt ook Ayman Al Issa bij McKinsey verantwoordelijk voor cybersecurity. "De waarde van documentatie wordt op het moment van ontwikkeling niet gezien. Mensen zijn daarom gemakzuchtig met het vastleggen van alles [rond ontwikkeling en wijzigingen van systemen - red]"

Burg ziet als enige uitkomst dat organisaties de vereisten voor een goede documentatie hard vastleggen in de eigen DevSecOps-procesomschrijvingen. "Dit gaat niet vanzelf gebeuren."

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in