Software Development Lifecycle (SDLC) dalam bahasa indonesia Kerangka siklus hidup pengembangan perangkat lunak kita tetap sebut saja SDLC, karena umum di orang pemrograman. Merupakan aktivitas memetakan seluruh proses pengembangan. Ini mencakup semua tahapan—perencanaan, desain, pembangunan, rilis, pemeliharaan, dan pembaruan, serta penggantian dan penghentian aplikasi ketika diperlukan.
SDLC aman (SSDLC) dibangun berdasarkan proses ini dengan menggabungkan keamanan di semua tahap siklus hidup. Tim sering kali menerapkan SSDLC saat bertransisi ke DevSecOps . Prosesnya melibatkan penerapan praktik terbaik keamanan bersama dengan aspek fungsional pembangunan, dan pengamanan lingkungan pengembangan.
Pentingnya Secure SDLC
Merupakan kepercayaan umum bahwa persyaratan keamanan dan pengujian menghambat proses pengembangan. Namun, SDLC yang aman memberikan metode yang efektif untuk memecah keamanan menjadi beberapa tahap selama proses pengembangan. Ini menyatukan pemangku kepentingan dari tim pengembangan dan keamanan dengan investasi bersama dalam proyek, yang membantu memastikan bahwa aplikasi perangkat lunak dilindungi tanpa penundaan.
Pengembang dapat memulai dengan mempelajari kerangka kerja dan praktik pengkodean aman terbaik. Mereka juga harus mempertimbangkan penggunaan alat otomatis untuk mengidentifikasi risiko keamanan dalam kode yang mereka tulis dan untuk mendeteksi kerentanan keamanan di perpustakaan sumber terbuka yang mereka bawa ke dalam proyek mereka.
Selain itu, tim manajemen dapat menggunakan SDLC aman sebagai sarana untuk menerapkan metodologi strategis guna menciptakan produk yang aman. Misalnya, manajer dapat melakukan analisis kesenjangan untuk mendapatkan wawasan tentang aktivitas atau kebijakan keamanan mana yang saat ini ada, mana yang tidak ada, dan untuk melihat seberapa efektif aktivitas atau kebijakan tersebut pada setiap tahap SDLC.
Untuk mencapai SSDLC yang disederhanakan dan memastikan tenggat waktu pengiriman perangkat lunak tidak terlewatkan, penting untuk menetapkan dan menegakkan kebijakan keamanan yang membantu mengatasi masalah tingkat tinggi seperti kepatuhan tanpa memerlukan tinjauan manual atau intervensi manual. Untuk mencapai hal ini, beberapa organisasi memilih untuk mempekerjakan ahli keamanan untuk mengevaluasi persyaratan keamanan dan membuat rencana yang akan membantu organisasi meningkatkan kesiapan keamanannya.
Contoh Secure SDLC
Berikut adalah beberapa contoh kerangka kerja populer yang digunakan untuk membangun siklus hidup pengembangan perangkat lunak yang aman:
NIST Secure Software Development Framework (SSDF) / Kerangka Pengembangan Perangkat Lunak Aman NIST
NIST Secure Software Development Framework
Kerangka pengembangan perangkat lunak yang aman (SSDF) dibuat oleh National Institute of Standards and Technology (NIST), organisasi yang sama yang bertugas memelihara National Vulnerability Database (NVD) yang melacak kerentanan perangkat lunak yang diketahui publik.
SSDF mendefinisikan praktik pengembangan perangkat lunak yang dapat membantu mewujudkan SDLC yang aman. Kerangka kerja ini mencakup dokumen yang menguraikan dan menetapkan standar, pedoman, dan praktik pengembangan perangkat lunak. Praktik penting meliputi:
- Memberikan pelatihan pengkodean yang aman kepada edeveloper, untuk memastikan keamanan sejak awal
- Mengotomatiskan dan mengintegrasikan pengujian keamanan untuk mendeteksi risiko keamanan sedekat mungkin dengan titik remediasi
- Mengamankan komponen dan pustaka sumber terbuka yang ada dalam proyek
Tujuan kerangka pengembangan perangkat lunak aman NIST adalah untuk membantu mengurangi jumlah kerentanan dalam perangkat lunak yang dirilis ke lingkungan produksi, serta untuk mengurangi dampak potensi eksploitasi kerentanan yang belum terselesaikan dan tidak terdeteksi. Kerangka kerja ini juga dapat membantu mengatasi akar permasalahan dan mencegah terulangnya kerentanan di masa depan.
MS Security Development Lifecycle (MS SDL)
MS Security Development Lifecycle
MS SDL diusulkan oleh Microsoft dengan tujuan mendukung jalur pengembangan modern dengan pertimbangan keamanan yang dapat diandalkan. SDL mencakup kumpulan praktik yang dipilih secara khusus untuk membantu mendukung persyaratan kepatuhan dan jaminan keamanan. Pengembang dapat menggunakan SDL untuk mengurangi jumlah dan tingkat keparahan kerentanan dalam basis kode mereka sekaligus mengurangi biaya pengembangan dan kemunduran akibat remediasi tahap akhir.
OWASP Comprehensive, Lightweight Application Security Process (CLASP)
Comprehensive, Lightweight Application Security Process (CLASP)
CLASP dibangun dari komponen berbasis aturan yang menerapkan praktik keamanan terbaik. Ini dapat membantu pengembang mengamankan aplikasi pada fase awal siklus pengembangan dan menerapkan keamanan dengan cara yang terstruktur dan berulang.
CLASP dikembangkan dengan menganalisis tim pengembangan aktual di lapangan, mendekonstruksi siklus hidup pengembangan mereka, dan mengidentifikasi cara paling efektif untuk menambahkan praktik keamanan ke alur kerja mereka yang sudah ada. CLASP tidak hanya membahas cara-cara untuk meningkatkan proses yang sudah ada, namun juga membantu tim mengatasi kerentanan tertentu dan kelemahan pengkodean yang dapat dieksploitasi dan menyebabkan pelanggaran keamanan besar.
Menanamkan Keamanan ke Semua Fase SDLC
Idealnya, Anda harus mengamankan setiap fase SDLC dengan cara yang paling tepat bagi pemangku kepentingan yang hadir pada tahap tersebut, sekaligus memastikan bahwa setiap tindakan keamanan memfasilitasi praktik keamanan di seluruh proyek. Berikut adalah beberapa praktik keamanan utama yang perlu dipertimbangkan:
Perencanaan
Selama fase perencanaan, pemangku kepentingan mempertimbangkan aspek-aspek utama proyek dan penyelarasannya dengan strategi produk akhir. Contoh topik yang dipertimbangkan pada fase ini mencakup alokasi sumber daya, penjadwalan proyek, perencanaan kapasitas, dan penyediaan.
Di akhir fase ini, Anda harus memiliki beberapa keluaran, termasuk perkiraan biaya, persyaratan pengadaan, jadwal tugas, dan rencana proyek. Dalam SDLC yang aman, pertimbangan harus dibuat untuk keamanan, dengan mempertimbangkan persyaratan tambahan apa pun yang dapat memengaruhi hasil kerja ini. Untuk memastikan semua perspektif terwakili dalam keluaran fase ini, tim pengembangan dan manajer proyek harus berkolaborasi dengan pemangku kepentingan di bidang keamanan dan operasi.
Persyaratan dan Analisis
Fase ini melibatkan penentuan kerangka kerja, bahasa, dan teknologi mana yang harus digunakan. Penting untuk menentukan kerentanan atau praktik pengkodean tidak aman mana yang mungkin relevan dengan sumber daya yang dipilih.
Misalnya, kerangka kerja tertentu mungkin kurang memiliki kompetensi keamanan untuk lingkungan spesifik Anda, atau beberapa teknologi mungkin tidak kompatibel dengan alat keamanan yang sudah digunakan di tempat lain di organisasi Anda. Kegagalan untuk mempertimbangkan keseluruhan implikasinya di sini berpotensi mengancam keamanan semua teknologi yang dipilih selama fase ini dan teknologi yang diterapkan pada tahap selanjutnya.
Desain dan Prototipe
Fase desain melibatkan penggunaan pola arsitektur aplikasi dan pengembangan perangkat lunak yang sudah ada. Misalnya, arsitek perangkat lunak mungkin memutuskan untuk memanfaatkan kerangka arsitektur yang memungkinkan penggunaan komponen yang ada dan mendorong standardisasi.
Pola desain yang telah terbukti membantu pengembang memecahkan masalah algoritmik secara konsisten. Selain itu, fase ini mungkin mencakup pembuatan prototipe cepat (atau lonjakan), yang membantu membandingkan teknologi dan menemukan solusi paling sesuai untuk mencapai persyaratan yang diidentifikasi pada fase sebelumnya.
Keluaran dari tahap desain dan pembuatan prototipe meliputi:
- Dokumen desain —mencakup daftar semua komponen dan pola yang dipilih untuk proyek tersebut.
- Kode —diproduksi oleh paku dan digunakan sebagai titik awal untuk pengembangan lebih lanjut.
Dalam SDLC yang aman, memulai tahap desain dan prototipe dengan mempertimbangkan keamanan akan membantu meminimalkan gangguan pada alur kerja di kemudian hari, yang mungkin diakibatkan oleh ketidakpatuhan terhadap kebijakan keamanan atau kegagalan pengujian keamanan aplikasi.
Pengembangan dan Pengujian
Sangat penting untuk memasukkan standar pengkodean yang aman selama fase pengembangan, serta mendorong pemilihan komponen sumber terbuka dan pihak ketiga yang aman untuk dimasukkan ke dalam proyek. Hal ini biasanya mencakup proses peninjauan kode yang membantu memastikan proyek telah memenuhi fitur dan fungsi yang diperlukan, serta berbagai pengujian yang mengidentifikasi kelemahan dalam kode khusus, kerentanan sumber terbuka yang diketahui.
Jika organisasi Anda mengandalkan metodologi DevSecOps, pengujian ini dapat dilakukan langsung dalam alat yang digunakan pengembang, sehingga mempercepat deteksi risiko dan mempersingkat waktu remediasi. Alur kerja yang lebih tradisional akan mengikuti fase pengembangan dengan pengujian keamanan aplikasi, yang hasilnya dikirim kembali ke tim pengembangan untuk ditangani melalui alur kerja manajemen masalah.
Penyebaran
Sesuai dengan metodologi DevOps dan perangkat lunak asli cloud, fase penerapan harus diotomatisasi semaksimal mungkin. Perusahaan dengan tingkat kematangan tinggi sering kali menerapkan fase ini dengan menerapkan perangkat lunak segera setelah siap, pada akhir siklus sprint atau pengembangan khusus. Namun pendekatan ini tidak boleh diterapkan, kecuali alat dan praktik keamanan dapat mengakomodasi kecepatan ini dan memblokir potensi risiko keamanan yang diterapkan ke lingkungan produksi.
Perusahaan dengan kematangan DevOps yang lebih rendah, atau perusahaan yang beroperasi dalam industri dengan regulasi ketat, mungkin memerlukan tinjauan dan persetujuan manual sebelum penerapan, terutama untuk aplikasi bisnis penting atau aplikasi yang menangani data sensitif.
Pemeliharaan
Bahkan setelah melakukan proses pengujian yang sangat menyeluruh, kerentanan yang baru dipublikasikan dapat berdampak pada aplikasi yang telah dimasukkan ke dalam produksi. Selain itu, aplikasi mungkin berperilaku berbeda saat runtime di lingkungan produksi dibandingkan dalam keadaan statis atau di lingkungan pengembangan. Inilah sebabnya upaya keamanan tidak boleh berhenti setelah aplikasi Anda dirilis. Keamanan adalah siklus berkelanjutan yang harus dipelihara secara teratur.
Fase pemeliharaan Anda dimulai segera setelah fase penerapan, dan harus memastikan jalur umpan balik dan komunikasi langsung antara tim keamanan dan pengembangan. Persiapan harus dilakukan untuk mempercepat manajemen masalah dan remediasi risiko guna mengurangi peluang serangan terhadap aset produksi.
Tim Operasi atau DevOps juga harus memastikan konfigurasi keamanan yang tepat pada lingkungan cloud dan sumber daya yang terkait dengan fungsionalitas aplikasi, seperti mesin kontainer dan alat orkestrasi. Lakukan pemeriksaan keamanan ini secara teratur terhadap perangkat lunak dan lingkungan, perbarui secara berkala untuk memenuhi persyaratan yang terus berkembang, dan pastikan kompatibilitas dengan alat baru apa pun yang digunakan di tempat lain di SDLC aman.
Sources: https://www.aquasec.com/cloud-native-academy/supply-chain-security/secure-software-development-lifecycle-ssdlc/