DevSecOps

Bisnis yang lebih besar sering kali memiliki infrastruktur jaringan sendiri berupa server, router, sakelar, workstation, dll. Dalam kasus perusahaan yang membuat perangkat lunak "Komersial, Off-the-Shelf" (COTS), beberapa mesin ini dikhususkan untuk teknisi proses ini disebut DevOps. Ini hanyalah istilah untuk siklus tugas yang dilakukan saat perangkat lunak dikembangkan, dirilis, dan dipelihara. Beberapa perusahaan yang condong ke depan sekarang menyebut ini "DevSecOps" untuk menjelaskan bagaimana langkah-langkah keamanan dibangun ke dalam proses DevOps. Sederhananya, Dev (Sec) Ops adalah kumpulan tugas, dan alat yang digunakan untuk melakukannya, yang menghasilkan perangkat lunak aman.

Jelas mesin yang digunakan untuk mengeksekusi (dan pada tingkat yang semakin besar, mengotomatiskan) proses pengembangan dan pelepasan perangkat lunak berjalan ke inti tujuan organisasi semacam itu. Ini berarti risiko yang ditimbulkan pada organisasi oleh server khusus ini lebih tinggi daripada bagian lain dari perangkat keras TI perusahaan. Risiko yang lebih tinggi ini kemudian menunjukkan pengawasan yang lebih cermat.

Dalam kasus SolarWinds, proses Dev (Sec) Ops untuk produk tersebut diretas dengan memasukkan malware di lingkungan Dev (Sec) Ops (di antara langkah-langkah “Code” dan “Build” pada grafik di atas). Malware ini kemudian memasukkan kode "pintu belakang" ke dalam perangkat lunak dan tugas yang dijadwalkan ke sistem operasi server. Jika tidak, rilis "resmi" dari perangkat lunak kemudian berisi pintu belakang, mengekspos jaringan pelanggan SolarWinds ke peretas.