Siapa Sih DevSecOps? Palugada ya?

CI/CD

Belakangan ini kita sudah seringkali membahas topik-topik terkait cybersecurity, beberapa diantaranya ada kita mention role-role tertentu yang menyumbang peran besar di cybersecurity. Karena kita belum pernah membahas terkait DevSecOps, maka dari itu mari kita bahas lebih lanjut.

Dev-Sec-Ops, 3 Bagian Terpisah yang disatukan Culture

Sebelum kita membahas DevSecOPS, maka kita perlu tahu terlebih dahulu apa itu DevOps. Jadi DevOps sendiri merupakan pendekatan atau metodologi yang menggabungkan praktik-praktik dari pengembangan perangkat lunak (development) dan operasional teknologi informasi (operations) untuk meningkatkan efisiensi dan kecepatan dalam menghasilkan perangkat lunak atau aplikasi. Tujuan utama dari DevOps adalah untuk mempercepat siklus hidup pengembangan perangkat lunak, dari fase perencanaan hingga peluncuran, dengan menghilangkan hambatan antara tim pengembang dan tim operasi. Intinya, DevOps hanyalah sebatas framework/metodologi/konsep bukan spesifik role.

Jadi DevSecOps adalah suatu culture yang dikembangkan dengan menambahkan unsur security dalam eksekusinya. Eksekusinya bisa berupa DAST, SAST, maupun tindakan review security lainnya. Sehingga DevSecOps sendiri kini menjadi opsi baru dalam bidang IT saat ini.

Mengapa Momen, Kenapa Sih DevSecOps Penting?

Kalau DevOps berfokus pada operasional dan keberlangsungan apps, maka penambahan kata security di dalamnya mengacu pada segala bentuk tindakan yang diambil dalam keberlangsungan keamanan suatu lifecycle apps. DevSecOps sendiri memiliki tanggung jawab lebih besar dalam sisi keamanan dan data pengguna si aplikasi. Dengan hadirnya DevSecOps juga membantu mempercepat pengembangan dan delivery aplikasi melalui CI/CD. Bahkan DevSecOps sendiri memberikan kemampuan kolaborasi tim yang lebih baik dan saling berkesinambungan.

Serba-Serbi Prinsip DevSecOps

1. Shift Left Security Testing

Shift Left vs Shift Right

Umumnya kita sudah seringkali menerapkan shift right security testing. Dimana shift right testing sendiri diartikan sebagai bentuk framework pengujian dimana aplikasi dikembangkan sampai selesai erlebih dahulu, baru ditesting setelah sudah aplikasinya jadi. Berkebalikan dengan framework DevSecOps yang menerapkan shift left, dimana testing selalu dimulai dari tahap awal pengembangan, termasuk testing terhadap desainnya hingga proses pembuatan aplikasi. Hal ini membantu mengidentifikasi dan memperbaiki masalah keamanan lebih cepat dan lebih efisien. Model shift left sendiri diyakini sebagai model yang cukup ramah dari segi budgeting atau pendanaan dibandingkan model shift right.

2. Automation and Continuous Process

Dalam proses pengembangan dan testing framework DevSecOps, banyak sekali hal-hal operasional seperti development, deployment, integration, hingga monitoring dilakukan otomatis melalui automation tools. Entah dengan infrasctruture and provisioning automation tools berupa ansible, chef, puppet, terraform, dll. Bahkan ada juga security orchestration seperti shuffle dan cortex. Sehingga di sini kita dapat melihat bahwa DevSecOps sendiri melekat kuat dengan automation dan konsep CI/CD. Dengan adanya konsep-konsep yang melekat pada framework DevSecOps dapat membantu kita dalam banyak hal seperti deteksi dini terkait celah kerentanan aplikasi baik melalui SAST, DAST, dan bentuk security testing lainnya.

Kenapa DevSecOps Menjadi Suatu Tantangan Baru?

Seperti yang kita tahu, dengan adanya culture baru seperti ini, pasti ada challenge atau tantangan yang tetap harus kita hadapi. Berikut beberapa tantangan yang harus dihadapi dengan model role DevSecOps:

  • Perubahan budaya yang signifikan dan menyeluruh ke setiap bagian struktural organisasi
  • Automation yang cukup kompleks dan butuh ketelitian lebih
  • Minimnya pengetahuan sisi security dalam berbagai macam proses

Jadi Wajibkah DevSecOps Itu Ada?

Ada atau tidaknya model/culture DevSecOps bergantung seperti bagaimana arsitektural, proses, dan implementasi yang akan dilakukan. Tidak semua hal perlu atau wajib memberlakukan pembentukan tim DevSecOps, namun tidak juga menjadi hal yang percuma jika DevSecOps itu ada, Again, it’s always depend on your own purpose!

Sekian artikel yang saya tulis kali ini, saya Nabastala atau dengan nickname saya san@NBA.stl~# akan kembali dengan arikel menarik lainnya. Jangan lupa untuk membaca tulisan saya yang lain melalui https://kamsib.id/author/san/ .

Leave a Reply

Your email address will not be published. Required fields are marked *