Keamanan inovasi pengembangan
Artikel ini menjelaskan cara menyeimbangkan kecepatan inovasi dan akuntabilitas di organisasi Anda dalam konteks keamanan pengembangan.
Menyeimbangkan inovasi dan akuntabilitas
Selisih risiko perusahaan setiap organisasi bervariasi. Untuk menghitungnya, Anda harus terus menyeimbangkan tingkat inovasi yang diupayakan organisasi Anda dan akuntabilitas yang dimiliki organisasi Anda kepada pelanggan, pemegang saham, dan regulatornya.
Beberapa organisasi menekankan inovasi yang cepat untuk tetap kompetitif. Yang lain tidak toleran terhadap kerusakan merek - bahkan dari aplikasi pengujian kecil yang dapat disusupi.
Seimbangkan keamanan dan kecepatan inovasi organisasi Anda. Anda dapat menggunakan desain tata kelola berbasis kebijakan zona pendaratan Azure, yang menyediakan pagar pembatas untuk platform organisasi Anda (dan aplikasi yang disebarkan di dalamnya). Untuk informasi selengkapnya, lihat Mengadopsi rel berbasis kebijakan di organisasi sumber daya Anda.
Pelajari tentang hierarki grup manajemen dan langganan serta cara membuat grup manajemen kotak pasir tingkat atas.
Peningkatan inkremental dan berkelanjutan
Libatkan semua pemangku kepentingan dalam upaya Anda untuk menyeimbangkan dorongan inovasi dengan siklus hidup pengembangan peningkatan berkelanjutan. Secara berulang meningkatkan proses di semua aspek inovasi (seperti kecepatan atau keamanan).
Tentukan inovasi produk layak minimum (MVP) yang sukses dan berkelanjutan untuk organisasi Anda. Ini harus memenuhi atribut kritis minimum di seluruh domain DevSecOps:
- Pengembangan: Harus memenuhi persyaratan bisnis untuk relevansi pasar dan pelanggan serta responsivitas terhadap kebutuhan yang berkembang.
- Keamanan: Harus memastikan keamanan, kerahasiaan, integritas, dan ketersediaan.
- Operasi: Harus memenuhi standar kualitas, performa, dan keandalan.
Rangkul pengujian Shift Left sebagai bagian alami dari ideasi teknis dan pengembangan Anda. Integrasikan keamanan di awal proses. Memperbaiki masalah lebih awal lebih murah dan lebih efisien daripada memperbaikinya setelah Anda menemukannya dalam sistem produksi (seringkali saat penyerang mengeksploitasi beban kerja dan menyebabkan kerusakan bisnis).
Ubah proses DevOps yang ada sehingga Anda dapat menerapkan keamanan dan inovasi dalam praktik pengembangan. Modifikasi ini dapat melibatkan penambahan elemen baru yang sesuai secara alami ke dalam proses.
Sesuaikan praktik inkremental ini untuk menghasilkan gesekan yang sehat di antara anggota tim. Gesekan dapat menghasilkan bug penting untuk diperbaiki, dan dapat meminta pemikiran penting yang berharga (seperti pemodelan ancaman yang membantu Anda memahami "persona pengguna") penyerang. Menghasilkan gesekan yang sehat di antara anggota tim juga membantu Anda menghindari gesekan yang tidak sehat, upaya yang terbuang sia-sia, dan antipattern.
Efisiensi inovasi asli
Secara asli mengintegrasikan keamanan, identitas, standar kepatuhan, dan efisiensi lainnya ke dalam proses pengembangan Anda untuk menciptakan pagar pembatas yang tidak terlihat yang menghindari memperlambat inovasi pengembang. Edukasi semua tim Anda tentang efisiensi inovasi, dan libatkan semua tim dalam mengatasinya.
Tetap fleksibel melalui perakitan inovasi berkelanjutan. Sesuaikan elemen keamanan, dan sesuaikan pendekatan dengan setiap tim pengembang individu dan tahap kematangan/struktur proses mereka saat ini.
Mengintegrasikan keamanan ke dalam proses pengembangan
DevOps meningkatkan kelincahan dan kecepatan dengan menyatukan proses perencanaan dan pengembangan serta proses pengujian dan produksi. DevOps mengurangi risiko perusahaan dengan melakukan pembaruan cepat daripada pemindaian mendalam sebelum rilis. Peran keamanan bergeser dari gateway berkualitas tradisional ke proses integral menuju menurunkan risiko (dipandang sebagai peningkatan inkremental pengetahuan dan pendidikan tim, pembaruan proses, dan banyak lagi).
Alihkan organisasi Anda dari siklus pengembangan air terjun ke siklus hidup DevOps untuk mengaktifkan rilis bertahap yang cepat untuk aplikasi. Model DevOps memungkinkan Anda mengatasi masalah keamanan dengan cepat dan menghindari siklus perencanaan dan pengujian model air terjun yang lebih lama. DevOps juga menawarkan banyak manfaat non-keamanan yang memungkinkan peningkatan responsivitas terhadap pelanggan dan persyaratan pengguna internal di pasar yang berkembang pesat.
Geser Ke Kiri
Terus bekerja untuk meningkatkan keamanan dalam proses DevOps Anda menggunakan pendekatan Shift-left. Dalam pendekatan rekayasa keamanan ini, Anda mengintegrasikan keamanan sebelumnya dalam proses siklus hidup dan operasi pengembangan (OSA). Anda dapat menangkap masalah keamanan dengan lebih mudah dan dengan biaya yang jauh lebih murah daripada jika mereka tidak ditangguhkan sampai nanti dalam pengembangan.
Masukkan pertimbangan tata kelola, risiko, dan kepatuhan ke dalam strategi Anda sehingga Anda memastikan keamanan dan pendekatan Shift-left dipertahankan dari waktu ke waktu.
Langkah berikutnya
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk