banner large

DevSecOps: Apa yang perlu diketahui perusahaan

Comment
X
Share

Kami sangat antusias untuk menghadirkan Transform 2022 kembali secara langsung pada 19 Juli dan 20 – 28 Juli secara virtual. Bergabunglah dengan AI dan pemimpin data untuk pembicaraan yang berwawasan luas dan peluang jaringan yang menarik. Daftar hari ini!


Ketika teknologi tumbuh semakin kompleks, demikian juga metode keamanan yang dimaksudkan untuk melindungi dan melindunginya.

Masalah keamanan yang ada selalu ada dan berkembang, dan masalah baru terus muncul, menuntut langkah-langkah keamanan siber yang semakin maju – DevSecOps menjadi salah satunya.

DevSecOps didefinisikan sebagai praktik menangani pengembangan, keamanan, dan operasi secara bersamaan melalui siklus hidup aplikasi penuh.

“Pertimbangan keamanan data ditangani di seluruh jalur, bukan hanya di akhir,” kata Meredith Bell, CEO perusahaan platform DevSecOps AutoRABIT.

“Ini untuk memastikan bahwa kerentanan keamanan ditemukan dan ditangani dengan kualitas, skala, dan kecepatan yang sama dengan proses pengembangan dan pengujian,” serta untuk membantu memastikan bahwa setiap pembaruan mendukung sistem yang stabil, katanya.

Mike O’Malley, SVP strategi untuk perusahaan layanan TI SenecaGlobal, setuju bahwa “itu berarti memikirkan keamanan aplikasi dan infrastruktur sejak awal.”

Upaya keamanan siber dan pengembangan perangkat lunak digabungkan, katanya, sehingga keamanan terintegrasi ke dalam setiap fase siklus pengembangan perangkat lunak – mulai dari desain awal hingga integrasi, pengujian, penerapan, dan pengiriman perangkat lunak.

Dalam beberapa kasus, perusahaan memasukkan langkah-langkah keamanan bahkan lebih awal dalam siklus pengembangan – semacam “langkah sebelum pengembangan,” atau seperti yang disebut O’Malley, “PlanSecOps.”

“Jadi, keamanan tidak hanya dibangun selama pengembangan, itu dibangun ke dalam kerangka kerja bahkan sebelum (pengembang) mulai membuat kode,” katanya.

DevSecOps dan devops tumpang tindih

Namun, tidak ada definisi atau pendekatan standar industri untuk DevSecOps, kata VP Analis Gartner George Spafford – membuatnya seperti devops, dari mana ia berasal.

Istilah devops diciptakan kira-kira satu dekade yang lalu, dan konsepnya melibatkan penggabungan pengembangan perangkat lunak dan operasi TI. Tujuan akhirnya adalah untuk mempersingkat siklus hidup pengembangan sistem dan menyediakan pengiriman berkelanjutan dan kualitas perangkat lunak yang tinggi. Devops, pada gilirannya, mencakup beberapa aspek metodologi tangkas, yang melibatkan pemecahan proyek menjadi beberapa fase untuk memungkinkan kolaborasi dan peningkatan berkelanjutan.

Seperti yang dicatat Spafford, “DevSecOps masih dikembangkan, tetapi secara eksplisit menyatakan bahwa Keamanan Informasi harus dikolaborasikan, dan kontrol yang diperlukan untuk mengurangi risiko harus diperhitungkan.”

Keuntungannya sama dengan devops, dengan asumsi faktor organisasi dalam “semua pemangku kepentingan” – yaitu, peningkatan kemampuan untuk memberikan nilai pelanggan pada irama/kecepatan yang dibutuhkan pelanggan sambil mengelola risiko.

Pengembangan tangkas dan devops/DevSecOps dapat menjadi kuat jika digabungkan, terutama dalam hal AI dan upaya lain yang memerlukan eksperimen dan pembelajaran yang cukup dan berkelanjutan.

Namun, “itu tidak boleh dikejar semata-mata karena sepertinya itu ide yang bagus. Orang harus menggunakan devops/DevSecOps di tempat yang masuk akal, di mana ada kebutuhan, ”kata Spafford.

Terutama dibandingkan dengan metodologi air terjun – pendekatan linier untuk manajemen proyek di mana setiap tahap harus diselesaikan sebelum pindah ke yang berikutnya – tangkas bermanfaat dalam situasi di mana ada ambiguitas tentang kebutuhan atau perubahan yang cepat terjadi. Kelemahan Waterfall, Spafford, adalah bahwa pengguna harus mengidentifikasi persyaratan di awal ketika kebutuhan paling tidak dipahami. Ini berarti bahwa rencana proyek dibuat dengan sejumlah besar pekerjaan dalam proses dan ketergantungan.

Agile memungkinkan pengembang untuk memfokuskan upaya mereka pada hasil pelanggan dan melakukan rilis reguler dengan “tumpukan fitur yang sedang dipersiapkan untuk mencerminkan pelajaran terbaru yang dipetik,” kata Spafford.

“Ini adalah pendekatan yang kuat karena memungkinkan pengiriman kurva langkah nilai pelanggan, pembelajaran, dan peningkatan berkelanjutan,” kata Spafford.

Tetapi organisasi juga harus mempertimbangkan kerugiannya: Mengatasi budaya yang ada dan membuat orang belajar dan berubah. Ini dapat diatasi, Spafford mencatat, tetapi mereka harus dipertimbangkan sejak awal dan selama proses berlangsung.

Dan pada akhirnya, devops dan DevSecOps “bukanlah kemajuan yang Anda mulai dengan satu dan kemudian pindah ke yang lain,” kata Spafford. “Dalam kedua kasus tersebut, mulailah dari yang kecil, pelajari, tingkatkan, tunjukkan nilai, dan kembangkan jejaknya.”

Konsep yang berkembang, adopsi

Seiring dengan meningkatnya kerentanan keamanan, DevSecOps menjadi lebih didefinisikan sebagai sebuah konsep, serta tumbuh dalam adopsi.

Menurut Emergen Research, pasar DevSecOps global akan mencapai $23,42 miliar pada tahun 2028. Itu naik 32,2% tingkat pertumbuhan tahunan gabungan (CAGR) yang signifikan dari $2,55 miliar pada tahun 2020.

Ini sejalan dengan pertumbuhan pasar devops, yang diperkirakan akan mencatatkan lebih dari 20% keuntungan dari 2022 hingga 2028, menurut Global Market Insights. Perusahaan mengharapkan segmen meningkat dari sekitar $7 miliar menjadi lebih dari $30 miliar selama periode itu.

Meningkatnya kebutuhan akan proses yang dapat diulang dan adaptif, keamanan kode khusus, serta pemantauan dan pengujian otomatis mendorong pertumbuhan ini, lapor Emergen. Dan semakin banyak (dan iterasi) platform dan alat muncul – dari orang-orang seperti Unisys, Kryptowire, Red Hat, dan Rackner.

Peningkatan perlindungan di lanskap ‘jelek’

“DevSecOps bukan lagi pilihan” – ini adalah kebutuhan,” kata Bell. Demikian juga, “keamanan bukanlah sebuah renungan.” Sebaliknya, itu harus diintegrasikan pada setiap fase siklus pengembangan devops.

O’Malley setuju, menunjukkan bahwa praktik umum adalah memasang keamanan ke perangkat lunak pada akhir siklus pengembangan.

Ini bukan masalah yang signifikan sampai praktik pengembangan baru termasuk agile dan devops menjadi semakin lazim sebagai sarana untuk mengurangi siklus pengembangan, katanya. Di tengah adopsi ini, pendekatan tacking-on menciptakan banyak penundaan atau dilewati sama sekali untuk mendorong fitur baru ke klien, sehingga menciptakan celah keamanan lebih lanjut.

DevSecOps “menjadi lebih kritis,” kata O’Malley, menggarisbawahi bahwa, “Ini buruk di luar sana dalam keamanan.”

Khususnya, peretas telah menjadi lebih pintar dan lebih canggih. Mereka semakin mengembangkan cara untuk secara langsung mem-bypass autentikasi multifaktor melalui titik akses di cloud publik, aplikasi, perangkat seluler, dan IoT; untuk secara langsung menargetkan organisasi dan memaksa mereka untuk membayar uang tebusan; dan menggunakan apa yang disebut aplikasi “penguntit” untuk merekam percakapan, lokasi, dan semua yang diketik pengguna, “semuanya disamarkan sebagai kalkulator atau kalender,” kata O’Malley.

Dia juga menunjuk pengarusutamaan komputasi awan sebagai faktor. Seperti yang diprediksi oleh Gartner, 70% dari semua beban kerja perusahaan akan diterapkan ke cloud pada tahun 2023, naik dari 40% pada tahun 2020. Terlebih lagi, bisnis di seluruh industri diharapkan memiliki setidaknya sembilan lingkungan cloud yang berbeda pada tahun 2023.

Menghosting data dan aplikasi di banyak tempat menambah tingkat kerumitan yang dapat mempersulit pengelolaan operasi keamanan cloud (atau CloudSecOps). Dan meskipun memiliki banyak manfaat – tidak sedikit di antaranya adalah biaya dan fleksibilitas – cloud juga membuka lebih banyak titik masuk. Organisasi memiliki area yang lebih luas untuk diamankan, dan dengan akses yang tidak terbatas pada lokasi fisik, “siapa pun dan semua orang adalah ancaman potensial,” kata O’Malley.

Penyerang dapat menggunakan aplikasi pihak ketiga, kredensial karyawan, dan bot untuk mendapatkan akses, sehingga meningkatkan kebutuhan akan tindakan keamanan siber modern.

Pergeseran ke pekerjaan jarak jauh dan transformasi digital berkelanjutan telah meningkatkan kerentanan organisasi, Bell menunjukkan. Aplikasi yang aman dan pembaruan berkelanjutan memungkinkan perusahaan untuk beradaptasi dengan ini tanpa membuka diri untuk menyerang.

“Perusahaan yang menerapkan solusi DevSecOps akan mengalami lebih sedikit latihan kebakaran di tahap selanjutnya dan memberikan kode yang lebih aman dan berkualitas lebih tinggi,” kata Bell. “Mendorong proyek pengembangan melalui produksi dan menciptakan utang teknis adalah resep untuk bencana.”

Mencapai ‘ketahanan dunia maya’

Dalam hal perlindungan, peralatan yang tepat sangat penting, kata Bell.

Manajemen rilis otomatis adalah aspek penting dari setiap strategi DevSecOps. Ini adalah proses perencanaan dan pengerjaan melalui alur pengembangan aplikasi – mulai dari tahap persiapan paling awal, hingga pengembangan, pengujian, penerapan, hingga pemantauan lanjutan setelah rilis.

Alat integrasi berkelanjutan dan penyebaran berkelanjutan (CI/CD) membantu memperkuat proses pengujian, menopang area serangan potensial sebelum tahap produksi, kata Bell. Alat pencadangan data juga dapat digunakan untuk merutekan data secara otomatis ke lokasi yang tepat dan mempertahankan antarmuka yang konsisten baik untuk karyawan maupun pelanggan.

Perlindungan juga berguna untuk membantu karyawan menjadi lebih “tahan cyber.”

Dari mengomunikasikan praktik terbaik seperti izin pengguna yang diperbarui, hingga menerapkan kata sandi yang kuat, hingga memperkuat kemampuan untuk menemukan upaya phishing, Bell menggarisbawahi bahwa “komunikasi terbuka adalah kunci keberhasilan.”

Misi VentureBeat adalah menjadi alun-alun kota digital bagi para pengambil keputusan teknis untuk memperoleh pengetahuan tentang teknologi dan transaksi perusahaan yang transformatif. Pelajari lebih lanjut tentang keanggotaan.

Leave a Reply

Your email address will not be published. Required fields are marked *