Strategi keamanan pengembangan

  • Artikel

Keamanan pengembangan adalah area teknis yang luas dengan beberapa elemen yang berbeda. Praktik terbaik mencerminkan fakta itu.

Keamanan pengembangan memerlukan perlindungan aplikasi atau kode itu sendiri, dan infrastruktur, platform, atau perangkat yang mendasar.

Diagram menunjukkan peluang penyerang, termasuk serangan infrastruktur TI.

Praktik keamanan terintegrasi

Mengamankan kode memerlukan praktik keamanan terintegrasi dalam proses pengembangan. Pendekatan ini mengurangi risiko keamanan dalam desain dan implementasi kode yang dikembangkan.

Pengembangan dapat mengambil banyak bentuk, termasuk:

  • Kode aplikasi untuk dijalankan di server sebagai aplikasi atau API.
  • Menerbitkan API.
  • Pembuatan skrip.
  • Automation, seperti contoh-contoh berikut:
    • Penyebaran infrastruktur, misalnya, mengotomatiskan penyebaran Terraform.
    • Konfigurasi infrastruktur, seperti menggunakan templat Azure Resource Manager atau Bicep untuk menyebarkan Grup Keamanan Jaringan Azure dan membuat aturan grup keamanan.
    • Tugas operasional, seperti menggunakan Azure Functions untuk menjalankan tugas terjadwal dengan menjalankan kode pada interval berwaktu yang telah ditentukan sebelumnya.
  • Kode yang akan disebarkan ke firmware.
  • Aplikasi seluler, agregasi kode tingkat aplikasi dengan layanan platform, disebarkan sebagai sistem.
  • Sistem lengkap, yang terdiri dari komponen infrastruktur, sistem operasi, layanan PaaS, dan kode, yang dirakit ke dalam cetak biru yang dapat dieksekusi yang disebarkan ke Azure sebagai Infrastruktur sebagai Kode (IaC).

Selain luasnya apa yang dapat dianggap sebagai pengembangan, kemajuan dalam proses dan teknologi telah memungkinkan waktu yang dipercepat untuk produksi, termasuk alur Integrasi Berkelanjutan/Pengembangan Berkelanjutan (CI/CD) yang lebih cepat, DevOps, dan DevSecOps.

Kemajuan ini mengharuskan organisasi untuk mundur dan mengevaluasi. Mereka perlu menentukan proses dan teknologi mana yang memberikan kelincahan dan kecepatan pengembangan untuk memenuhi tuntutan bisnis dengan cara yang aman dan patuh.

Sejak awal, strategi pengembangan yang baik perlu memperkirakan kebutuhan bisnis dan keamanan Anda dan ekosistem pengembang organisasi Anda. Tujuannya adalah untuk memiliki keamanan bawaan untuk proses pengembangan. Tim keamanan harus lebih aktif daripada pemblokir atau hambatan untuk mencapai produksi.

Bagian lain dari strategi keamanan pengembangan yang sukses adalah bertemu dengan pengembang di mana mereka berada dan mencoba membuat perubahan pada pekerjaan mereka sesingkat dan tanpa gesekan mungkin. Langkah-langkah kecil dan otomatisasi adalah yang terbaik. Tunjukkan kepada staf pengembangan bagaimana keamanan yang dimasukkan ke dalam proses pengembangan dapat mempercepat dan menghilangkan gesekan dari upaya mereka.

Langkah berikutnya

Keamanan inovasi pengembangan