Apa itu DevSecOps ?

Jika Kita memiliki eksposur dan ketertarikan yang signifikan ke dunia pengembangan perangkat lunak dan aplikasi, maka Kita tidak diragukan lagi pasti mengenal konsep DevOps. Tapi apa yang kau ketahui tentang DevSecOps? Seperti yang mungkin Kita tebak dari bagian kata, DevSecOps adalah gabungan konsep dari DevOps dan keamanan.

Berikut artikel ini akan memaparkan mengenai DevSecOps.

Apa itu DevSecOps ?

Dalam mendefinisikan DevSecOps, kita perlu memulai dengan memperkenalkan kembali diri kita dengan apa pengertian dari devOps di tempat pertama. DevOps, seperti yang kita ketahui, adalah seperangkat praktik dan alat yang menggabungkan pengembangan perangkat lunak / aplikasi (Dev) dengan operasi teknologi informasi (IT) (Ops).

DevOps meningkatkan kemampuan organisasi untuk menerapkan aplikasi dan layanan lebih cepat dan memberikan banyak keuntungan bagi perusahaan mana pun yang ingin tetap kompetitif di dunia yang serba cepat saat ini.

DevOps telah dengan cepat menjadi norma atau standar dalam pengembangan aplikasi, dengan lebih banyak organisasi mengadopsi model ini sekarang. Kemajuan dalam IT, termasuk cloud computing, sumber daya Bersama atau sharing resources, dan penyediaan dinamis telah membuat DevOps menjadi metodologi yang lebih mudah diakses dan akibatnya lebih menarik untuk diadopsi.

DevSecOps memperluas pola pikir dari DevOps, merupakan filosofi yang mengintegrasikan praktik keamanan ke dalam setiap fase DevOps. Metodologi DevSecOps menciptakan budaya ‘Keamanan sebagai Kode’ dengan kolaborasi yang berkelanjutan dan fleksibel antara apps release engineer dan tim keamanan yang didirikan oleh organisasi.

Manfaat DevSecOps

Mengingat manfaat DevSecOps, yang saat ini masih belum diimplementasikan secara luas. Setidaknya, belum terlambat untuk kita ketahui bagaimana manfaat dari DevSecOps. Berikut manfaat yang kita dapatkan apabila mengadopsi DevSecOps yaitu :

• Tim dalam sebuah organisasi mampu menangkap kerentanan system keamanan selama pengembangan, untuk menghindari masalah system keamanan yang hadir setelah rilis aplikasi, di mana publik ikut terpengaruh dan membuat reputasi perusahaan menjadi turun.
• Laba atas investasi (ROI) yang lebih baik dalam infrastruktur keamanan organisasi yang ada
• Proses dapat diotomatisasi, yang berarti bahwa lebih sedikit kesalahan atau insiden kegagalan dalam hal administrasi dimana dua hal tersebut yang dapat berkontribusi pada serangan cyber dan downtime.
• Dengan proses otomatisasi ini berarti bahwa arsitek keamanan siber tidak diperlukan untuk mengonfigurasi konsol keamanan, membebaskan tim keamanan untuk menangani masalah mendesak lainnya, serta meningkatkan kelincahan dan kecepatan mereka dalam menangani masalah tersebut.
• Komunikasi dan kolaborasi yang lebih baik antar tim.
• Menciptakan fleksibilitas yang lebih besar dalam mengelola perubahan mendadak selama siklus hidup pengembangan.
• Menjadikan peluang yang lebih signifikan untuk quality assurance testing dan build otomatis.

Implementasi DevSecOps

Tim harus memastikan bahwa system keamanan yang baik harus dibangun ke dalam pengembangan aplikasi secara menyeluruh agar penerapan DevSecOps dapat dengan sukses dalam strategi yang diinginkan oleh organisasi. Berikut enam komponen vital dari setiap pendekatan DevSecOps yaitu :

• Code Analysis

Mendeliver kode dalam potongan-potongan yang kecil, sehingga lebih mudah untuk melihat kerentanan dengan lebih cepat.

• Change Management

Tingkatkan kecepatan dan efisiensi dengan membiarkan anggota tim untuk mendeliver perubahan, lalu tentukan apakah perubahan tersebut membantu atau justru membuat masalah baru.

• Compliance Monitoring

Bersiaplah untuk audit kapan saja dengan selalu memperhatikan asas kepatuhan

• Threat Investigation

Identifikasi potensi ancaman yang berkembang di setiap pembaruan kode dan merespons dengan cepat

• Vulnerability Assesment

Identifikasi kerentanan baru yang ditimbulkan dengan analisis kode, lalu tentukan kecepatan respons dan resolusi

• Security Training

Latih pengembang perangkat lunak dan IT engineer dengan pedoman yang konsisten untuk setiap rutinitas

Berikut adalah cheklist langkah-langkah spesifik yang berkaitan dengan enam komponen tersebut yaitu :

• Mengotomatiskan dan menstandarkan environment serta meminimalkan akses tidak sah
• Memusatkan identitas pengguna dan kemampuan kontrol akses serta memperketat kontrol akses
• Container yang menjalankan layanan mikro harus diisolasi dari jaringan dan satu sama lain
• Data antara aplikasi dan layanan harus dienkripsi
• Menerapkan gateway API yang lebih aman
• Mengintegrasikan pemindai keamanan untuk semua container
• Mengotomatiskan proses integrasi berkelanjutan (CI) dalam pengujian system keamanan
• Sertakan pengujian validasi yang terotomatisasi untuk kemampuan keamanan dalam proses user acceptance
• Mengotomatiskan update dan patch keamanan
• Mengotomatiskan kemampuan audit, remediasi, dan manajemen konfigurasi sistem dan layanan

Tools dan Skill Dalam DevSecOps

Dunia DevSecOps menawarkan sejumlah tools berguna untuk tim yang menangani masalah sistem keamanan. Berikut tools DevSecOps mencakup berbagai tugas keamanan yaitu :

• Claire: Memindai kerentanan dalam kontainer Docker
• HackerOne: Memungkinkan Kita untuk melakukan secara efektif dan efisien dan merespons laporan kerentanan
• Rapid7 Nexpose: Memindai sistem untuk kerentanan dan mengelola seluruh siklus hidup deteksi kerentanan
• Snyk: Memeriksa library kode yang bersifat open source untuk setiap masalah yang diketahui
• Stetoskop: Membantu Kita mengelola keamanan yang berfokus pada pengguna serta bersifat open source
• Suricata: Mendeteksi ancaman terhadap jaringan dan bersifat open source

Tim keamanan yang ingin menerapkan DevSecOps harus menguasai keterampilan berikut yaitu :

• Mendapatkan pengalaman langsung bekerja di bidang DevOps
• Memahami bahasa pemrograman seperti Java, Perl, Python, PHP, dan Ruby
• Keterampilan komunikasi dan kerja tim yang kuat
• Pengetahuan tentang penilaian risiko dan teknik pemodelan ancaman
• Memiliki pemahaman dan pengetahuan yang kuat tentang ancaman keamanan siber terbaru, praktik terbaik saat ini, dan perangkat lunak terkait
• Memiliki pengetahuan tentang program seperti Aqua, Checkmarx, Chef, Immunio, Puppet, dan ThreatModeler. Akan lebih baik jika memiliki pemahaman tentang AWS, Docker, atau Kubernetes
• Meskipun tidak wajib, seorang profesional di bidang DevSecOps memiliki pengetahuan tentang praktik DevOps atau sertifikasi DevOps Engineer