Pengembangan aplikasi dapat dikaitkan erat dengan Hukum Gerak Ketiga Newton: Untuk setiap aksi, ada reaksi yang sama dan berlawanan arah. Pengembang hanya ingin mengembangkan, tetapi tampaknya kapan pun mereka ingin mengembangkan, tim keamanan aplikasi (AppSec) membalas dengan kekhawatiran memastikan keamanan aplikasi, menimbulkan ketegangan, dan memperlambat pengembangan. Setelah ketegangan ini, kita harus bertanya pada diri sendiri bagaimana kita bisa memastikan keamanan sambil mempertahankan proses pembangunan yang ramping — memasuki kebangkitan “pemimpin keamanan”.
Program juara keamanan adalah proses menyebarkan kesadaran seputar praktik keamanan terbaik untuk perilaku organisasi guna mengurangi risiko keamanan secara keseluruhan. Juara keamanan adalah individu yang tidak terlibat dalam keamanan, tetapi menerima pelatihan tambahan dan insentif untuk mewakili keamanan di tim mereka. Munculnya juara keamanan benar-benar berkembang sebagai tren dari kekhawatiran bahwa rata-rata pengembang tidak mengukur keamanan, dan karena itu tidak fokus untuk mempertahankannya. Ada kepercayaan populer, terutama dalam penggunaan kode sumber terbuka, bahwa keamanan bukanlah bagian dari proses pengembangan karena pengembang tidak bertanggung jawab untuk memastikan kode aman — sehingga bergantung pada asumsi bahwa kode yang digunakan dapat diandalkan. Faktanya, tim keamanan, meskipun diperlukan, sering dipandang sebagai hambatan dalam proses, mencegah pengembang untuk terus-menerus mengeluarkan kode.
Ini semua mengarah pada penciptaan juara keamanan di tim penelitian dan pengembangan (R&D) yang dilatih di AppSec dan menjembatani kesenjangan antara pengembang tipikal dan tim keamanan.
Mengapa Juara Keamanan Penting
Juara keamanan sangat penting dalam proses pengembangan aplikasi untuk meredakan ketegangan antara tim keamanan dan pengembang. Secara alami, ada dua kekuatan berlawanan yang bekerja dengan pengembang yang ingin berkembang, dan tim AppSec bertugas memastikan keamanan menghalangi pengembangan itu. Sama seperti argumen sehari-hari, juara keamanan dapat berfungsi sebagai arbiter yang tidak memihak antara tim pengembangan dan tim AppSec. Mereka membantu menjelaskan kedua perspektif sehingga kedua belah pihak dapat memahami alasan dan tindakan pihak lain.
Jadi apa yang menyebabkan ketegangan ini? Sering dikatakan bahwa keakraban melahirkan penghinaan, dan meskipun ini mungkin benar, kurangnya pemahaman benar-benar menjadi sumber ketegangan ini, yang mengarah pada munculnya juara keamanan. Misalnya, meskipun kepercayaan pengembang mungkin bahwa tim AppSec menghalangi kesuksesan mereka, dan tim AppSec mungkin percaya bahwa pengembang bertindak tidak bertanggung jawab dengan tidak mengonfirmasi keamanan kode, pada kenyataannya, semua tim bekerja menuju tujuan bersama. tujuan mengembangkan aplikasi yang efektif dan dapat digunakan yang aman dari gangguan. Tidak ada yang secara aktif berusaha mempersulit hidup siapa pun, dan juara keamanan berfungsi sebagai penyampai informasi tersebut.
Takeaway Utama
Satu gagasan utama yang perlu diingat saat menerapkan program security champion adalah apakah tim Anda saat ini beroperasi secara efektif dan efisien atau tidak. Jika ya, penerapan strategi juara keamanan mungkin tidak sesuai untuk saat ini. Namun, jika ada ketegangan yang nyata antara tim pengembangan Anda dan tim AppSec, dan tim tersebut secara konsisten menghadapi hambatan dalam pengembangan aplikasi, penerapan jagoan keamanan dapat membantu tidak hanya meredakan ketegangan dalam organisasi Anda, tetapi juga merampingkan proses pengembangan aplikasi dan mendapatkan organisasi Anda kembali ke jalurnya.
Selain itu, pada tingkat yang lebih makro, kita harus ingat bahwa keamanan adalah tentang manajemen risiko. Tidak ada tim yang dapat menangani setiap masalah keamanan siber dalam pengembangan aplikasi. Faktanya, jika itu yang terjadi, bidang keamanan siber tidak akan ada lagi seperti yang kita ketahui. Pemahaman bahwa pengembang kadang-kadang akan menghadapi hambatan “keamanan” ini sangat penting, karena hal itu ada untuk membantu organisasi pada akhirnya mengembangkan produk yang lebih halus dan aman.
Bagaimana dan Kapan Saya Harus Menjadi Juara Keamanan?
Sekarang adalah saat yang tepat untuk menjadi juara keamanan. Sudah waktunya bagi kita untuk memikirkan kembali pengembangan dan pendekatan AppSec, dan untuk menggabungkan juara keamanan untuk merampingkan proses tidak hanya dalam menemukan kerentanan dalam siklus hidup pengembangan, tetapi juga dalam memulihkannya sebelum berubah menjadi masalah yang lebih besar.
Terakhir, ada pengembang yang benar-benar ingin memastikan aplikasi yang dikembangkan seaman mungkin, tetapi kuncinya terletak pada pelatihan AppSec yang sebenarnya untuk para pengembang ini, menjadikan mereka juara keamanan yang disebutkan di atas. Ini akan memungkinkan pengembang untuk lebih memahami pentingnya AppSec, meredakan ketegangan antar tim, dan bekerja lebih efisien.
Pendekatan AppSec tradisional sudah ketinggalan zaman dan menghabiskan terlalu banyak waktu dalam memastikan keamanan kode yang dikembangkan. Saatnya menerapkan proses baru, dan memanfaatkan strategi juara keamanan dapat menjadi langkah pertama Anda menuju proses pengembangan yang merevolusi.
Kredit gambar: KirillM/depositphotos.com
Ori Bendet adalah Wakil Presiden Manajemen Produk di Checkmarx.
