Latar Belakang
DevOps mulai dikenal di tahun 2013. Ini merupakan penggabungan dari konsep development dan operation yang dulunya terpisah dan saling tidak berhubungan. Keterpisahan ini membuat suatu layanan menjadi susah untuk di support . Istilah yang paling sering didengan adalah, program itu jalan balik kok di development, jika tidak jalan di production maka itu masalah tim operation. Sehingga budaya saling menyalahkan mulai timbul antara dua tim. Untuk memecahkan masalah klasik tersebut maka dibentuk atau digabungkan dua tim tersebut
DevSecOps
Model DevOps dirasakan kurang tanpa adanya elemen keamanan. Hasil dari model DevOps akan tidak berguna jika ada celah keamanan yang bisa dimanfaatkan oleh orang yang tidak bertanggung jawab. Celah keamanan bisa terjadi di fase development, seperti pustaka perangkat lunak yang sudah lama tidak diperbaharui dan mempunyai celah keamanan, pemprograman yang tidak aman, yang rentan terhadap XSS dan SQL Injection . Celah keamanan di fase operational seperti tidak adanya daftar putih untuk integrasi, pagar api yang terbuka terlalu lebar, tidak adanya pembatasan permintaan yang mencukupi, dan daftar ini bisa berlanjut terus.
Keamanan harus dimasukan dalam keseluruhan proses DevOps, semakin awal elemen keamanan dimasukan akan sangat bagus. Proses pengembangan bisa mempergunakan pemindai kode untuk mengetahui apakah kode yang dibuat sudah aman. Pemindai kode juga bisa mengetahui apakah pustaka perangkat lunak aman atau tidak. Proses operasional bisa mengunakan pemindai celah keamanan dan melakukan test penetrasi ke suatu sistem atau aplikasi
Perencanaan keamana bisa dimulai lebih awal dari tata kelola organisasi (struktur organisasi). Bentuk tim dan deskripsi pekerjaannya. Tahap ini akan sangat membantu dalam merancang arsitektur infrastruktur, terutama untuk hal IAM (Identity Access Management). Pembicaraan dengan tim bisnis juga sangat membantu untuk merancanakan perluasan (scalability) dari produk atau pelayanan yang akan kita buat.
Peralatan DevSecOps
DevSecOps mempunya banyak peralatan untuk membantu menjalankan setiap fase nya. Bebera contoh adalah:
Fase Pengembangan dalam DevSecOps
Pustaka kode (source code) seperti GitHub, GitLab, Azure DevOps. Peralatan ini akan menyimpan kode dengan semua sejarah perubahannya. Alat ini juga bisa melakukan pemindaan jika ada pustaka perangkat lunak yang sudah lama dan mempunyai celah keamanan
Pemindai kode (code scanner), seperti SonarCloud, SonarCube. Alat ini bisa melakukan test unit, test cakupan dan keamanan penulisan kode. Dan masih banyak lagi yang bisa dilakukan dan ditest
Fase Operasional dalam DevSecOps
Aktifitasnya adalah menjalankan aplikasi di lingkungan produksi. Aktivitas dari fase produksi adalah deployment dan pengawasan terhadap performa dan kapasitas dari aplikasi / sistem. Peralatan yang umum digunakan adalah
Orkestrator kontainer seperti Kubernetes
Pemindai kontainer, seperti snyx
APM (Application Performance Monitoring) seperty Dynatrace, Prometheus, dan lain-lain
Kesimpulan tentang DevSecOps
DevSec perlu ditingkatkan menjadi DevSecOps untuk keamanan informasi karena kebutuhan keamanan pada setiap fase. Semakin awal penerapan keamanan maka akan semakin baik. Pertahanan yang berlapis tidak bisa dihindarkan. Hal tersebut penting untuk mendapatkan keamanan informasi digital.
No Responses