Transformasi digital kini menjadi bagian tak terpisahkan dari kisah sukses setiap organisasi modern. Namun, ada tekanan yang semakin besar pada pengembang untuk mempercepat siklus rilis sebagai perangkat lunak yang diandalkan oleh organisasi. Ini adalah dasar untuk pertumbuhan pendapatan, keunggulan kompetitif, dan kesuksesan bisnis jangka panjang sehingga dorongan untuk mengurangi siklus hidup dibangun berdasarkan kebutuhan komersial.
Organisasi ingin menjadi yang pertama memasarkan perangkat lunak terbaru dan terhebat yang dapat berarti bahwa risiko diperkenalkan karena tekanan untuk memenuhi tenggat waktu melampaui kebutuhan untuk memastikan bahwa semua kode bebas dari kerentanan apa pun.
Namun, kecepatan ke pasar tidak boleh mengorbankan keamanan aplikasi. Mengadopsi pendekatan AppSec mutakhir memungkinkan organisasi mendorong pertumbuhan pendapatan sekaligus memitigasi risiko keamanan siber, menjadikannya komponen penting dari strategi keamanan.
Organisasi harus membingkai ulang pendekatan AppSec mereka dengan melihat secara holistik pada setiap tahap siklus hidup pengembangan perangkat lunak untuk mengidentifikasi celah dalam keamanan. Untuk tujuan ini, ini bukan hanya tentang pendekatan ‘bergeser ke kiri’ dan bukan hanya ‘bergeser ke kanan’. Keamanan aplikasi harus ada di semua elemen dan fase siklus hidup pengembangan aplikasi, sebuah pendekatan yang disebut sebagai ‘beralih ke mana-mana’.
Praktik dan risiko Pembangunan Modern
Di dunia yang sangat digital saat ini, kode menggerakkan segalanya mulai dari mobil hingga unit pendingin udara hingga sistem penagihan. Setiap produk digital dibangun di atas beberapa bahasa yang dapat dibaca mesin. Sayangnya, kode yang digunakan secara luas ini seringkali menjadi titik kerentanan pertama untuk ancaman apa pun. Faktanya, dari penelitian kami sendiri, 88 persen organisasi mengalami setidaknya satu pelanggaran dalam 12 bulan terakhir, yang merupakan akibat langsung dari aplikasi rentan yang mereka kembangkan sendiri. Dengan aplikasi yang lebih banyak dan kompleks, muncul risiko keamanan yang meningkat.
Selain itu, pengembangan aplikasi modern dan pendekatan cloud-native berkontribusi pada faktor risiko. Faktanya, pendekatan ini sangat bergantung pada sumber terbuka, paket dan komponen pihak ketiga, sumber daya cloud, IaC, kontainer, dan antarmuka pemrograman aplikasi (API) karena ini adalah blok bangunan dasar dari perangkat lunak modern. Ini juga secara signifikan meningkatkan permukaan serangan potensial.
Namun, sebagian besar kerentanan berasal dari kode internal aplikasi, yang menyediakan pintu belakang untuk serangan dunia maya. Survei kami menemukan bahwa 50 persen hingga 74 persen aplikasi yang dikembangkan dan disebarkan perusahaan berisi pustaka, paket, dan komponen sumber terbuka dan pihak ketiga.
Keamanan Aplikasi adalah keharusan bisnis
AppSec mendukung pertumbuhan bisnis dan merek dengan mengamankan proses dan produk karena aplikasi digital memainkan peran penting dalam menghasilkan pendapatan, menciptakan diferensiasi kompetitif bagi sebagian besar organisasi. Faktanya, dalam survei kami baru-baru ini, 75 persen CISO mengakui bahwa sumber utama bisnis atau pendapatan perusahaan mereka dihasilkan melalui aplikasi yang harus mereka amankan.
Pada saat yang sama, pasar yang bergerak cepat biasanya mengandalkan siklus rilis singkat, karena perusahaan harus menjadi yang pertama memasarkan perangkat lunak terbaru untuk mendorong pendapatan baru dan berulang. Perlombaan bagi pengembang untuk segera merilis layanan dan produk baru semakin menambah tekanan dan meningkatkan risiko. Hampir 40 persen manajer AppSec dan pengembang perangkat lunak melaporkan bahwa kode yang rentan diterapkan ke dalam produksi “untuk memenuhi tenggat waktu terkait bisnis, fitur, atau keamanan”.
Mengambil langkah ke arah yang benar
Membangun keamanan di semua tahap pengembangan sama pentingnya untuk memastikan bahwa produk dapat memenuhi siklus hidup pengembangan yang lebih cepat ini tanpa mengorbankan keamanan. Menekankan AppSec di semua inisiatif digital dan memelihara budaya mengutamakan keamanan dapat membantu memastikan bahwa pengembang memprioritaskan keamanan di setiap tahap siklus pengembangan perangkat lunak. Sangat penting untuk membuat AppSec mudah diimplementasikan untuk mengurangi kemungkinan kerentanan ditemukan di kemudian hari, karena remediasi bisa jadi mahal.
Bisnis juga harus mengintegrasikan AppSec ke dalam jalur operasi pengembangan (DevOps) untuk memastikan bahwa keamanan merupakan bagian integral dari proyek pengembangan, bukan sekadar renungan. Ini dapat membantu menandai dan memperbaiki potensi kerentanan berisiko tinggi lebih awal dan mengurangi biaya yang terkait dengan upaya perbaikan tahap akhir. Ini pada akhirnya akan membantu perusahaan meningkatkan keuntungan mereka dan meningkatkan nilai pemangku kepentingan.
Pendekatan ‘Shift Everywhere’ untuk AppSec menambahkan keamanan ke setiap aplikasi, versi, dan lokasi sebelum, selama, dan setelah penerapan. Bisnis harus mengadopsi pola pikir ‘Bergeser ke Mana Saja’ dan berinvestasi dalam alat untuk pembelajaran dan pengembangan. Alat ini harus menawarkan sumber daya dan peluang yang memadai bagi tim untuk tetap mengikuti teknologi keamanan terbaru dan praktik terbaik. Ini akan memberikan keunggulan kompetitif bagi perusahaan dan mendorong inovasi.
Proses pengembangan modern dan dorongan menuju transformasi digital memerlukan pendekatan baru untuk keamanan aplikasi. Hal ini mencerminkan meningkatnya kebutuhan AppSec untuk berada di mana saja, dan di setiap tahap, sehingga risiko dapat diidentifikasi sedini mungkin. Dengan cara ini, organisasi dapat memperoleh manfaat dari pengembangan yang benar-benar gesit dengan cepat, sekaligus mengurangi risiko dan aplikasi yang siap menghadapi masa depan dari lanskap ancaman apa pun yang berubah bagi kita.
Kredit Gambar: Wayne Williams
Kobi Tzruya adalah Chief R7D Officer di Checkmarx.
