Logo
Teknologi

Panduan ITSEC Mengenai DevSecOps

Tips
Hacks

DevSecOps merupakan kepanjangan dari development, security, and operations (pengembangan, keamanan, dan operasi) dan ide utama DevSecOps adalah untuk membuat seluruh anggota tim teknis dan pengembangan Anda bertanggung jawab terhadap cybersecurity sehingga mereka dapat membuat keputusan keamanan di saat yang sama ketika mereka membuat keputusan pengembangan dan operasi, sehingga meningkatkan keamanan secara keseluruhan.

ITSEC AsiaITSEC Asia
|
Jul 10, 2023
Panduan ITSEC Mengenai DevSecOps

Setiap tim teknis yang saat ini menggunakan kerangka kerja DevOps harus mencari cara untuk bergerak ke arah pola pikir DevSecOps dengan cara meningkatkan keahlian security yang dimiliki oleh masing-masing anggota tim yang berasal dari berbagai latar belakang teknologi. Dari membangun layanan cybersecurity yang berfokus pada bisnis hingga pengujian potensi eksploitasi cybersecurity, kerangka kerja DevSecOps memastikan bahwa cybersecurity dibangun dengan cara ditanamkan ke dalam aplikasi dan tidak hanya menjadi sebuah tempelan yang baru ditambahkan belakangan. Dengan memastikan pertimbangan keamanan ada di setiap tahap pengiriman perangkat lunak (software delivery), Anda secara terus-menerus melakukan integrasi keamanan sehingga dapat mengurangi biaya compliance (kepatuhan) dan perangkat lunak dapat dikirimkan dengan cepat dan aman.

DevSecOps Dalam Praktek

Keuntungan DevSecOps sederhana, yaitu bahwa Anda dapat melihat peningkatan otomatisasi di sepanjang jalur pengiriman perangkat lunak. Otomatisasi ini berguna untuk jangka panjang karena dapat menghapuskan kesalahan, mengurangi cyberattack dan mengurangi downtime. Organisasi yang ingin mengintegrasikan keamanan ke dalam kerangka DevOps mereka mendapati bahwa proses ini bisa menjadi relatif mulus jika Anda menggunakan alat DevSecOps yang tepat. Alur kerja DevOps dan DevSecOps terlihat seperti ini:

  • Seorang engineer membuat kode di dalam platform version control.
  • Perubahan diterapkan pada platform version control.
  • Engineer lain mengambil kode dari platform version control dan melakukan analisis kode untuk mengidentifikasi jika ada kekurangan dari sisi cybersecurity.
  • Kemudian dibangun sebuah environment dengan menggunakan alat berbentuk infrastructure-as-code (iac), selanjutnya aplikasi digunakan dan konfigurasi keamanan dipasang ke dalam sistem.
  • Sebuah test automation suite kemudian dijalankan terhadap aplikasi yang baru digunakan, yaitu aplikasi back-end, UI, integrasi, tes keamanan dan API.
  • Jika berhasil lolos dari tes ini, maka aplikasi-aplikasi tersebut akan digunakan untuk environment produksi.
  • Environment produksi baru ini dimonitor secara terus-menerus untuk mengidentifikasi segala ancaman atau vulnerability (kerentanan) dalam cybersecurity yang masih aktif di dalam sistem.

Dengan environment yang dikembangkan menggunakan proses TDD (test-driven development) dan telah melalui pengujian otomatis serta memiliki integrasi berkesinambungan sebagai bagian dari alur kerja mereka, maka tim pengembangan dapat bekerja dengan mulus dan cepat dalam rangka mencapai tujuan bersama untuk mendapatkan secure code dan peningkatan compliance.

Apakah Anda Membutuhkan DevSecOps??

Ya, Anda membutuhkannya. Lanskap teknologi telah mengalami perubahan eksponensial sepanjang dekade terakhir. Pergeseran penggunaan platform shared storage dan shared data, aplikasi dinamis, dan cloud computing sangat menguntungkan bagi organisasi yang ingin berkembang dan tumbuh melalui penggunaan aplikasi dan layanan canggih, tetapi semua ini juga ada biaya pelaksanaannya. Aplikasi-aplikasi DevOps memang memiliki keunggulan dalam hal fungsionalitas, skala, dan kecepatan, tetapi seringkali mereka memiliki kekurangan dalam hal keamanan dan kepatuhan Hal inilah yang melatarbelakangi diperkenalkannya DevSecOps kedalam siklus hidup pengembangan perangkat lunak untuk menempatkan pengembangan, operasi, dan keamanan dalam satu atap, dan dengan proses itu dapat meningkatkan cybersecurity dari sebuah perangkat lunak. Para pelaku cybercrime selalu mencari cara untuk mengeksploitasi perangkat lunak, bayangkan jika mereka berhasil memasukkan malware ke dalam perangkat lunak saat proses pembangunan dan malware tersebut tidak ditemukan sampai waktu aplikasi telah diluncurkan kepada ribuan pelanggan! Tingkat kerusakan terhadap reputasi perusahaan dan sistem pelanggan mereka dapat menjadi malapetaka, terutama di dunia dimana berita buruk cepat sekali menjadi viral melalui media sosial. Menjadikan faktor keamanan sama pentingnya dengan faktor pengembangan dan operasi Anda merupakan keharusan bagi tim manapun yang terlibat dalam pengembangan dan distribusi perangkat lunak. Ketika Anda mengintegrasikan DevSecOps dan DevOps, setiap network administrator dan network engineer langsung menempatkan keamanan sebagai pertimbangan pertama dalam proses pengembangan dan deployment perangkat lunak.

Praktik Terbaik DevSecOps

Organisasi yang ingin menyatukan operasi TI, tim keamanan dan pengembang aplikasi perlu mengintegrasikan keamanan ke dalam alur kerja DevOps mereka. Tujuannya adalah untuk menjadikan keamanan sebagai komponen inti dari alur kerja pengembangan perangkat lunak, menggantikan kebiasaan menguatkan keamanan di akhir proses. Berikut ini adalah beberapa praktik terbaik yang membuat proses DevSecOps berjalan dengan lancar:

  • Otomatisasi merupakan hal yang bagus - Meskipun DevOps memiliki fokus pada kecepatan pengiriman, ini tidak berarti bahwa faktor kecepatan harus dikompromikan hanya karena Anda menambahkan faktor keamanan di dalamnya. Dengan mengintegrasikan kontrol keamanan otomatis dan pengujian di awal siklus pengembangan perangkat lunak, Anda dapat memastikan pengiriman perangkat lunak dilakukan dengan cepat.
  • DevSecOps untuk efisiensi - Dengan menambahkan keamanan ke dalam alur kerja Anda dan dengan menggunakan alat yang dapat memindai kode saat Anda membuatnya, Anda dapat menemukan dan memperbaiki masalah keamanan lebih awal.
  • Pemodelan ancaman (threat modeling) – Menjalankan threat modeling dapat membantu Anda menemukan kerentanan dalam aset Anda dan menyumbat celah dalam kontrol keamanan, sehingga membantu Anda mengidentifikasi kejadian berisiko tinggi yang terjadi di dalam codebase Anda.

Sementara masih ada perdebatan tentang apa artinya DevSecOps untuk bisnis, namun sangat mudah untuk melihat artinya di dalam dunia dengan siklus rilis yang cepat dan ancaman keamanan yang terus berkembang, itulah sebabnya kami merekomendasikan DevSecOps untuk organisasi mana pun yang tidak dapat mentolerir terjadinya skandal keamanan, atau jika mereka masih menganggap semua pelanggan mereka sebagai target oleh pelaku cybercrime (hampir semua orang dapat menjadi target).

Share this post

You may also like

OT Cybersecurity Incident Response: Peran dan Tanggung Jawab ICS4ICS
Teknologi

OT Cybersecurity Incident Response: Peran dan Tanggung Jawab ICS4ICS

ot cybersecurity
ot technology

Seiring dengan terus berkembangnya transformasi digital di sektor industri, sistem Operational Technology (OT)—yang mengontrol dan memantau proses fisik penting—menjadi semakin rentan terhadap ancaman siber. Berbeda dengan sistem IT, lingkungan OT sering kali belum memiliki kontrol keamanan siber yang matang, menjadikannya target empuk bagi penyerang. Serangan yang berhasil dapat menyebabkan kerusakan fisik, risiko keselamatan, gangguan operasional, hingga kerugian finansial yang signifikan. Dalam konteks berisiko tinggi ini, rencana respons insiden yang terstruktur dan berbasis peran sangatlah penting. Whitepaper ini memperkenalkan model respons insiden siber OT yang komprehensif dan mengintegrasikan standar global seperti ISA/IEC 62443, NIST SP 800-82r3, NIST SP 800-61r2, dan ISO/IEC 27001. Model ini dijalankan melalui FEMA Incident Command System (ICS) serta penyesuaian industri dari inisiatif ICS4ICS. Kerangka ini menekankan pentingnya pembagian peran yang jelas antara tim korporat dan tim di lapangan—seperti Incident Commander, Safety Officer, dan Operations Section Chief—dan menyelaraskan tindakan melalui siklus perencanaan "Planning P" agar respons berjalan terkoordinasi, aman, dan tepat waktu. Sebuah studi kasus tentang serangan ransomware di pembangkit listrik tenaga gas menunjukkan efektivitas pendekatan ini, dengan hasil tanpa

ITSEC AsiaITSEC Asia
|
Jan 01, 2023 5 minutes read
Sejarah Singkat Internet
Teknologi

Sejarah Singkat Internet

Saya ketagihan pada komputer sejak Oregan Trail pertama kali dirilis, saat itu Anda harus mengodekan semua aplikasi Anda secara manual di BASIC jika benar-benar ingin komputer Anda menjadi berguna atau bahkan melakukan hal-hal yang membosankan seperti bersuara “blip” pada Anda. Satu-satunya alternatif untuk mengetik ratusan baris kode yaitu dengan memuat kaset yang telah direkam sebelumnya dengan serangkaian bunyi “biip”, peluit, dan memberitahu komputer Anda apa yang harus dilakukannya ketika diputar ulang. Anda tahu, suara-suara pra-rekaman yang berbunyi “biip” itu PERSIS seperti apa yang terdengar di internet saat pertama kali saya mendengarnya. Tidak, itu bukanlah kesalahan ketik, saya telah mendengar internet sebelum saya benar-benar melihatnya, begitu banyak sehingga saya masih percaya bahwa internet kabel saya adalah internet palsu karena setiap waktu sangat sepi Tidak, saya tidak mendengar internet karena saya adalah semacam seorang whisperer (pembisik) internet, kita SEMUA telah mendengar internet sebelum kita benar-benar menggunakannya saat itu, kedatangannya disinyalkan oleh serangkaian pekikan bernada tinggi dan dengungan digital yang datang kepada Anda dari saluran telepon. Begitulah cara kita mengetahui internet akan datang. Di masa

ITSEC AsiaITSEC Asia
|
Jul 09, 2023 10 minutes read
Mengapa Inventaris Aset Adalah Fondasi Pertahanan Siber yang Kuat
Teknologi

Mengapa Inventaris Aset Adalah Fondasi Pertahanan Siber yang Kuat

PENDAHULUAN Banyak serangan siber berhasil bukan karena alat keamanannya gagal, tapi karena perusahaan tidak benar-benar tahu apa yang sedang mereka lindungi. Menurut World Economic Forum, risiko siber terus meningkat seiring makin rumitnya dunia digital kita, apalagi dengan maraknya penggunaan cloud dan kerja jarak jauh (remote work). Sistem, aplikasi, dan perangkat baru bertambah lebih cepat daripada kemampuan tim keamanan untuk mencatatnya. Lama-lama, ada aset yang terlupakan, tidak terkelola, atau dibiarkan tanpa pengamanan yang benar. Aset-aset "gaib" inilah yang sering jadi pintu masuk paling empuk bagi penyerang. Catatan: Jika Anda ingin penjelasan lebih dasar, coba cek artikel kami sebelumnya: Why You Need To Take Asset Inventory Seriously [https://itsec.asia/blog/why-you-need-to-take-asset-inventory-seriously?utm_source=chatgpt.com]. Di sana dijelaskan konsep dasarnya dengan bahasa yang lebih sederhana. Artikel ini akan membahas lebih lanjut mengapa inventarisasi aset adalah kemampuan dasar yang wajib dimiliki untuk pertahanan siber modern. APA ITU INVENTARISASI ASET KEAMANAN SIBER? Singkatnya, ini adalah proses mendata dan menjaga visibilitas (pemantauan) atas semua aset digital di dalam organisasi Anda. Ini mencakup: * Endpoints: Seperti laptop, server, dan perangkat seluler (HP/tablet). * Infrastruktur Jaringan: Router, switch,

ITSEC AsiaITSEC Asia
|
Jan 09, 2026 4 minutes read

Receive weekly
updates on new posts

Subscribe
Logo
Indonesia

Noble House, Level 11
Jakarta 12950, Indonesia

Singapore

112 Robinson Road, #11-04
Singapore 068902

Australia

Level 22, 120 Spencer St Melbourne,
Victoria, 3004

United Arab Emirates

Golden Mile 4, Office 13, Floor M,
Palm Jumeirah, Dubai, United Arab Emirates

Mauritius

The Catalyst Building, Ground Floor, Lot 40,
Silicon Avenue Ebene, Mauritius

Layanan

Copyright © ITSEC 2026 | All Rights Reserved