Secara historis, keamanan telah diperlakukan sebagai renungan dalam industri TI. Namun dalam beberapa tahun terakhir ada tekanan untuk memperkenalkan ‘keamanan berdasarkan desain’ untuk memastikan bahwa produk dikembangkan dengan mempertimbangkan praktik terbaik.
Kami berbicara dengan David Melamed CTO Jit untuk mencari tahu tentang mengintegrasikan keamanan dan bagaimana alat keamanan dapat digunakan oleh pengembang bukan hanya profesional keamanan.
BN: Bagaimana Anda terlibat dalam ruang keamanan pengembangan?
DM: Sebagai seorang insinyur perangkat lunak (kembali), saya memahami bahwa keamanan adalah bagian penting untuk memberikan perangkat lunak berkualitas tinggi. Selama bertahun-tahun, saya menginvestasikan lebih banyak waktu dan upaya untuk mempelajari domain, dan memiliki kesempatan khusus untuk mendapatkan keamanan cloud langsung di CloudLock (kemudian diakuisisi oleh Cisco). Di kantor CTO, saya melakukan penelitian mendalam tentang ancaman keamanan cloud dunia nyata, dan bahkan menjadi salah satu peneliti yang berkontribusi pada Top 10 Ancaman Keamanan Tanpa Server (sebelum Tanpa Server lepas landas seperti sekarang). Hari ini, di Jit, saya telah membawa keahlian domain tersebut selama bertahun-tahun sebagai pengembang langsung, arsitek, dan peneliti keamanan untuk mencakup seluruh cakupan keamanan end-to-end melalui kerangka kerja yang terbuka dan dapat diakses oleh semua orang.
BN: Apa tantangan utama penerapan alat keamanan?
DM: Singkatnya — ada banyak.
Keanekaragaman dan jumlah alat keamanan membuat lanskap ini sangat sulit untuk dinavigasi. Tidak hanya ada kategori yang berbeda dari deteksi hingga pencegahan, pemindaian kode, deteksi kerentanan runtime, tetapi mereka juga dapat hadir dalam berbagai bentuk, dari yang dapat dieksekusi dan skrip, hingga alat berbasis API, SaaS, dan paket sumber terbuka. Tantangan terbesar dan paling sering dicatat adalah bahwa masing-masing alat ini adalah dunia keahlian domain tersendiri, dan dilengkapi dengan ‘bahasa’, metode implementasi, antarmuka, dan keluarannya sendiri. Semua ini bersama-sama menciptakan kurva pembelajaran yang curam untuk mencapai cakupan keamanan end-to-end untuk banyak lapisan tumpukan cloud native saat ini — serta ‘waktu untuk cakupan keamanan penuh’ yang panjang.
Meskipun bagian keamanan yang paling kritis dalam lanskap seperti itu adalah memiliki rencana yang telah ditentukan sebelumnya, pada dasarnya adalah bintang utara untuk keamanan produk Anda. Ini karena meskipun Anda mengintegrasikan semua alat yang tepat, tetapi tujuan keamanan Anda tidak terdefinisi dengan baik, Anda tidak akan pernah tahu apakah Anda mengelola postur keamanan Anda dengan benar dan apakah ada celah yang signifikan dalam keamanan produk Anda.
BN: Bagaimana seharusnya tim mengintegrasikan keamanan ke dalam proses pengembangan?
DM: Menyematkan keamanan ke dalam pengembangan harus dimulai sejak baris pertama kode, dan sebagai praktik dan budaya, bahkan sebelum itu dalam fase desain dan pemodelan ancaman. Ada begitu banyak lapisan yang terdiri dari produk kami saat ini — mulai dari kode, hingga integrasi dan pihak ketiga (sering disebut rantai pasokan), infrastruktur — dengan keragaman runtime, dan banyak lagi. Semua ini bersama-sama telah menciptakan banyak titik masuk bagi calon penyerang, dan tidak satu pun dari ini dapat diabaikan.
Meskipun demikian, kami percaya bahwa tim dapat memulai dari yang kecil dan mengulang dengan pendekatan keamanan minimum yang layak — mirip dengan MVP, Anda tidak perlu membangun benteng sejak hari pertama, hanya rencana dasar yang akan memberi Anda minimum set kontrol untuk menutupi eksploitasi utama di semua kategori ini. Ada banyak alat open source yang sangat bagus untuk Anda mulai, kami memiliki kumpulan yang cukup bagus di blog kami tentang 5 Alat Keamanan Sumber Terbuka Teratas yang harus diketahui oleh semua pengembang (dan pembicaraan yang bagus!)
BN: Bisakah Anda menjelaskan peran proyek sumber terbuka di ruang keamanan siber?
DM: Keamanan open source telah berkembang luar biasa selama bertahun-tahun, dan saat ini ada sejumlah besar alat keamanan open source yang cukup mengagumkan — yang telah menjadi pengubah permainan bagi industri ini. Dari OWASP ZAP (pemindai aplikasi web yang paling banyak diadopsi — dikelola oleh insinyur kami yang terkenal, Simon Bennetts), hingga Gitleaks yang dipilih Jit untuk didukung dan disponsori, antara lain dari KICS, Prowler, Semgrep, dan lainnya.
Proyek-proyek ini telah menurunkan penghalang masuk untuk keamanan, di mana hingga saat ini sebagian besar lanskap keamanan telah ditutup dan rangkaian perangkat lunak premium yang tidak selalu dapat diakses oleh perusahaan kecil dan berkembang. Banyak alat keamanan OSS berkembang biak dengan baik saat ini dan memberikan cakupan yang sangat baik untuk kebutuhan umum, dan telah berfungsi untuk memberikan inovasi yang sangat dibutuhkan, serta memahami seperti apa pengalaman keamanan (mirip dengan pengalaman pengembang atau pengguna) agar benar-benar memungkinkan tersebar luas adopsi.
BN: Apa pendapat Anda tentang masa depan keamanan untuk perusahaan dengan tim pengembangan yang bergerak cepat?
DM: Perusahaan yang tidak tahu cara menyematkan keamanan ke dalam alur kerja pengembang asli di organisasi teknik berkecepatan tinggi akan tertinggal. Tidak ada waktu untuk gesekan atau kurva pembelajaran, alat keamanan perlu dioptimalkan untuk pengembang. Mereka perlu memberikan keluaran yang jelas, dan tidak hanya bersifat informatif, dengan fokus agar dapat ditindaklanjuti dengan perbaikan bawaan. Kami yakin alat keamanan yang akan menjadi pengubah permainan adalah alat yang datang dengan pola pikir pertama-perbaikan, tidak hanya didorong oleh masalah (pengembang muak dengan daftar panjang kerentanan yang tahu cara memperbaikinya).
Terlebih lagi, bagian lainnya, adalah bahwa pada akhirnya dengan lanskap ancaman yang berkembang dan terus berkembang, kita akan melihat bahwa alat keamanan (dev) yang melakukan hal ini dengan benar, pada akhirnya akan menjadi pengaktif (ya, Anda tidak salah dengar — enabler) dari rekayasa kecepatan tinggi dengan keselamatan. Taruhannya terlalu tinggi saat ini, dan perusahaan adalah satu permintaan tarik dan keluar dari bencana besar. Organisasi teknik yang akan dapat memberikan hasil dengan cepat, sambil mempertahankan keamanan berkelanjutan akan menjadi pihak yang memimpin.
Kredit gambar: mikkolem/depositphotos.com
