Mengapa DevSecOps menawarkan pendekatan 'paling transformatif' untuk keamanan aplikasi
Saat ini, kepopuleran DevSecOps dan motto utamanya,’shift left’ terus meningkat di kalangan keamanan aplikasi. Bagi orang-orang yang belum pernah mendengar DevSecOps, perlu diketahui bahwa DevSecOps bertujuan untuk menyatukan pengembangan, keamanan, dan operasi untuk mengamankan aplikasi selama proses pengembangan itu sendiri. ‘Shift Left’, mengacu pada gagasan untuk menyematkan keamanan di awal (di sisi paling kiri) dari siklus hidup pengembangan.
Akan tetapi strategi DevSecOps yang efektif sebenarnya bukan tentang menghadirkan keamanan bagi pengembang. Pendekatan yang lebih baik adalah memperlakukan kerentanan dalam kode lebih seperti devs akan memperlakukan seperti bug. Masukkan kembali ke dalam sistem dan pergi. Pertahankan kecepatan fitur.
App Insecurity
Menurut laporan terbaru dari Venafi, hampir semua eksekutif senior TI — 97% — setuju bahwa proses pembuatan perangkat lunak tidak cukup aman. Kekhawatiran tentang keamanan aplikasi tersebar luas setelah serangan seperti pelanggaran rantai pasokan perangkat lunak SolarWinds Orion dan kerentanan sumber terbuka seperti kelemahan di Log4j, dan pustaka pencatatan yang digunakan secara luas di aplikasi Java.
Menanggapi masalah keamanan aplikasi tersebut, beberapa perusahaan telah berusaha untuk membuat pengembang bekerja secara berbeda untuk memastikan keamanan.
Beberapa perusahaan, misalnya, mulai berbicara tentang mengajari pengembang cara menulis "kode aman," kata Dooley. Tetapi setiap kali itu terjadi, itu adalah "momen kehilangan kredibilitas," katanya.
Reaksi langsung pengembang akan selalu, "'Saya mengerjakan bug dan fitur. Jangan membuat saya mempelajari keamanan. Jangan mencoba untuk menempatkan saya melalui pelatihan keamanan,'" kata Dooley.
Karena perusahaan yang bertransformasi secara digital semakin bergantung pada pengembang mereka, ini adalah masalah penting untuk diperbaiki.
"Kita semua pernah berada di organisasi di mana keamanan menjadi hukuman," kata Stephen Schmidt, kepala petugas keamanan informasi di Amazon Web Services, selama sesi di AWS re: Invent bulan ini.
"Apa yang tercipta adalah budaya ketakutan dan penghindaran," kata Schmidt. "Sebaliknya, mari jadikan keamanan sebagai pengalaman hebat bagi pembangun ... Kita tidak akan pernah berada dalam posisi di mana seseorang melakukan sesuatu 'karena keamanan mengatakan demikian.' Itu tidak membangun kepercayaan. Itu tidak membangun kepemilikan. Dan itu tidak membangun kemitraan fungsional."
Journey Towards DevSecOps
DevSecOps membutuhkan tingkat kepercayaan yang tinggi antara pengembang dan sisi keamanan organisasi, menurut Dooley. Sebagian, itu karena DevSecOps pada akhirnya paling baik disampaikan melalui otomatisasi keamanan sebanyak mungkin selama pengembangan aplikasi.
Untuk mendapatkan program DevSecOps yang sebenarnya, tim keamanan harus mulai dengan memberikan data kepada pengembang yang disajikan dalam bentuk di mana mereka beroperasi—yaitu melalui tiket Jira untuk banyak tim DevOps, kata Dooley. “Tampil dalam kemasan dan format yang biasa mereka gunakan, dan berikan mereka semua informasi yang perlu mereka lakukan untuk hanya memperlakukan [masalah keamanan] seperti bug atau sebagai fitur,” katanya.
Dengan demikian, tingkat pertama dalam perjalanan ke DevSecOps dapat melibatkan penyediaan sampel kode aman kepada pengembang yang memperbaiki masalah tertentu dalam kode, kata Dooley. Namun kode aman ini masih perlu diimplementasikan secara manual.
Pada tingkat berikutnya, perusahaan dapat mengaktifkan remediasi semi-otomatis, katanya. Ini dapat melibatkan masalah penonaktifan otomatis yang menciptakan eksposur keamanan. Seorang manusia masih harus menandatangani build terakhir dengan pendekatan ini.
Tingkat teratas adalah remediasi otomatis penuh. Misalnya, ketika kesalahan konfigurasi terdeteksi, masalah itu dapat diperbaiki secara otomatis dan diterapkan segera setelah deteksi terjadi, kata Dooley.
“Jika Anda memiliki pengaturan itu, itu berarti Anda memiliki program DevSecOps,” katanya. “Tim pengembangan sekarang mempercayai tim keamanan—bahwa ketika mereka membawakan barang, itu nyata. Ini layak untuk diperbaiki. Ini layak untuk diubah. Itu adalah skenario yang ideal.”
Cloud Correlation
Data Theorem menawarkan platform untuk mengaktifkan DevSecOps yang melayani pelanggan, termasuk Netflix, Salesforce, Microsoft, dan lima dari tujuh bank terbesar di dunia. Platform ini membantu mengamankan lebih dari 8.000 aplikasi untuk pelanggan perusahaan secara total.
Bersama dengan organisasi pengembang-berat seperti Netflix, pelanggan Teorema Data lainnya yang mengikuti pendekatan DevSecOps yang sepenuhnya otomatis termasuk perusahaan jasa keuangan, Fannie Mae. “Kebanyakan orang akan menganggapnya sangat tradisional, sangat lokal. Tetapi mereka telah pindah ke cloud dengan cukup cepat, ”kata Dooley.
Dan sebagai hasilnya, mereka juga pindah ke DevSecOps. Ini menunjukkan bahwa terlepas dari apa yang disarankan oleh merek mereka, perusahaan masih dapat beralih ke DevSecOps dengan cepat setelah merangkul pendekatan berorientasi digital dan cloud secara keseluruhan, menurut Dooley.
Saat ini, sekitar sepertiga pelanggan Data Theorem memiliki program DevSecOps yang sepenuhnya otomatis, sementara sepertiga lainnya semi-otomatis, katanya. “Tapi setidaknya mereka sudah berhenti mengerjakan spreadsheet dan mengadakan rapat” ketika mereka menemukan masalah keamanan, kata Dooley.
The Burdens is on the Security team
Untuk sepertiga terakhir, keamanan dan DevOps belum melihat diri mereka sebagai satu tim, dan belum banyak kerja sama di antara mereka.
Namun, untuk perusahaan yang tetap pada level itu, “bebannya sebagian besar pada keamanan” untuk membuktikan bahwa mereka dapat berharga bagi tim DevOps, kata Dooley.
“Dan kami mencoba membantu mereka muncul dengan data, muncul dengan otomatisasi, dan muncul dengan nilai [a] yang dapat mereka berikan kepada tim DevOps,” katanya.
Namun, di ujung lain spektrum, jumlah perusahaan yang telah beralih ke pendekatan DevSecOps yang sepenuhnya otomatis telah berlipat ganda selama pandemi. Dooley mengatakan bahwa sementara sepertiga dari pelanggan perusahaan sekarang berada di tingkat teratas dalam DevSecOps, proporsi itu hanya sekitar 15% sebelum pandemi dimulai.
Dooley memperkirakan bahwa untuk Fortune 500 secara keseluruhan, sekitar 20% perusahaan telah menggunakan DevSecOps—dan angka tersebut akan meningkat hingga 30% atau lebih pada tahun 2022.
“DevSecOps sejauh ini merupakan hal paling transformatif yang dapat dilakukan tim keamanan aplikasi untuk menjadikan diri mereka berharga bagi organisasi,” katanya. “Jika Anda harus memilih satu proyek untuk AppSec, hal yang paling transformatif untuk Anda lakukan, selama lima tahun ke depan, adalah melakukan program DevSecOps, tanpa ragu.”