Keamanan aplikasi dan fungsi DevSecOps
Tujuan keamanan aplikasi dan DevSecOps adalah untuk mengintegrasikan jaminan keamanan ke dalam proses pengembangan dan aplikasi lini bisnis kustom (LOB).
Modernisasi
Pengembangan aplikasi dengan cepat dibentuk kembali dalam berbagai aspek secara bersamaan termasuk model tim DevOps, periode rilis cepat DevOps, dan komposisi teknis aplikasi melalui layanan cloud dan API. Lihat bagaimana cloud mengubah hubungan dan tanggung jawab keamanan untuk memahami perubahan ini.
Modernisasi model pengembangan kuno ini menghadirkan peluang dan persyaratan untuk memodernisasi keamanan aplikasi dan proses pengembangan. Penggabungan keamanan ke dalam proses DevOps sering disebut sebagai DevSecOps dan mendorong perubahan termasuk:
- Keamanan terintegrasi, bukan persetujuan dari luar: Laju perubahan yang cepat dalam pengembangan aplikasi membuat pendekatan "pemindaian dan laporan" klasik menjadi usang. Pendekatan warisan ini tidak dapat mengikuti rilis tanpa menghentikan pengembangan dan menciptakan penundaan waktu untuk memasarkan, kurang dimanfaatkannya pengembang, dan pertumbuhan simpanan backlog.
- Shift kiri untuk menggunakan keamanan lebih awal dalam proses pengembangan aplikasi karena memperbaiki masalah lebih awal lebih murah, lebih cepat, dan lebih efektif. Jika Anda menunggu sampai kue matang, lebih sulit untuk mengubah bentuknya.
- Integrasi native: Praktik keamanan harus terintegrasi dengan mulus untuk menghindari gangguan yang tidak sehat dalam alur kerja pengembangan dan proses integrasi berkelanjutan/penyebaran berkelanjutan (CI/CD). Untuk informasi selengkapnya tentang pendekatan GitHub, lihat Mengamankan perangkat lunak, bersama-sama.
- Keamanan berkualitas tinggi: Keamanan harus memberikan temuan dan panduan berkualitas tinggi yang memungkinkan pengembang memperbaiki masalah dengan cepat dan tidak membuang waktu pengembang dengan kesalahan positif.
- Budaya yang konvergen: Peran keamanan, pengembangan, dan operasi harus menyumbangkan elemen kunci ke dalam budaya bersama, nilai bersama, dan tujuan serta akuntabilitas bersama.
- Keamanan cerdas: Pergeseran keamanan dari pendekatan "harus sempurna untuk dikirim" ke pendekatan cerdas yang dimulai dengan keamanan minimum yang layak untuk aplikasi (dan untuk proses untuk mengembangkannya) yang terus ditingkatkan secara bertahap.
- Merangkul cloud native infrastruktur dan fitur keamanan untuk merampingkan proses pengembangan sekaligus mengintegrasikan keamanan.
- Manajemen risiko rantai pasokan: Ambil pendekatan zero-trust untuk perangkat lunak sumber terbuka (OSS) dan komponen pihak ketiga yang memvalidasi integritasnya dan memastikan bahwa perbaikan bug dan pembaruan diterapkan pada komponen ini.
- Pembelajaran berkelanjutan: Laju rilis cepat layanan pengembang, terkadang disebut platform as a service (PaaS), dan komposisi aplikasi yang berubah berarti bahwa anggota tim pengembang, operasi, dan keamanan akan terus mempelajari teknologi baru.
- Pendekatan terprogram terhadap keamanan aplikasi untuk memastikan peningkatan berkelanjutan dari pendekatan cerdas terjadi.
Untuk konteks tambahan, lihat siklus hidup pengembangan aman Microsoft.
Komposisi tim dan hubungan kunci
Keamanan aplikasi dan fungsi DevSecOps idealnya dilakukan oleh pengembang dan tim operasi yang paham akan keamanan (dengan dukungan pakar masalah keamanan).
Fungsi ini umumnya berinteraksi dengan fungsi dan pakar lainnya, antara lain:
- Arsitektur dan operasi keamanan
- Keamanan infrastruktur
- Komunikasi (pelatihan dan alat)
- Keamanan orang
- Identitas dan kunci
- Tim kepatuhan/manajemen risiko
- Pemimpin bisnis utama atau perwakilan mereka
Langkah berikutnya
Tinjau fungsi keamanan data.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk