Untuk mendapatkan potensi penuh dari DevOps, perusahaan-perusahaan perlu mengintegrasikan keamanan dan tata kelola ke dalam siklus hidup DevOps sejak awal. Oleh karena itu, muncul istilah 'bergeser ke kiri', yang berbicara tentang mengintegrasikan keamanan lebih dekat ke tahap pengembangan (dibandingkan strategi saat ini yang biasanya berkonsentrasi hanya pada fase implementasi), dan momentum yang tengah berkembang saat ini yang dikenal sebagai DevSecOps, yaitu metode baru di sektor TI yang nilainya diperkirakan akan mencapai US$5,9 miliar pada tahun 2023.
Manfaat jangka panjang dari DevSecOps jauh lebih besar daripada kesulitan jangka pendek yang yang ditimbulkannya. Perusahaan dapat mengintegrasikan kontrol keamanan seperti analisis source code, kontrol rantai pasokan software, dan pengujian keamanan aplikasi secara dinamis dalam langkah-langkah proses pengembangan.
Selain itu, otomatisasi dapat digunakan untuk memberikan loop umpan balik, sehingga mengurangi gesekan dalam proses penerapan aplikasi. Dengan cara ini, pembuatan prototipe dapat dilakukan lebih cepat dalam berbagai teknologi karena DevSecOps memerlukan metode yang digerakkan oleh API untuk mempertahankan kontrol keamanan.
Seperti praktik-praktik DevOps yang ada, keberhasilan DevSecOps tergantung pada tiga pilar dasar keberhasilan: manusia, proses, dan teknologi.
- Manusia
Meskipun DevSecOps adalah perjalanan yang dimungkinkan oleh teknologi, DevSecOps juga merupakan proses yang dimulai dengan manusia. Perusahaan-perusahaan perlu mendorong perubahan budaya untuk menjembatani kesenjangan antara bagian-bagian terpisah (silo) tradisional dari tim pengembangan, operasional dan keamanan. Perubahan ini melibatkan pemberdayaan tim lintas fungsi untuk siklus hidup aplikasi secara kompehensif.
- Proses
Dengan mengingat bahwa kecepatan dan kualitas adalah kunci bagi DevSecOps, perusahaan-perusahaan harus berusaha mengotomatisasi proses-proses manual sebanyak mungkin tanpa mengorbankan kebutuhan keamanan siber. Keamanan harus dilihat sebagai proses dalam fase pengembangan, bukan setelah aplikasi diterapkan. Memperkenalkan storyboard pemodelan ancaman sebagai bagian dari fase pengembangan membantu mengintegrasikan keamanan ke dalam desain dan menghilangkan mentalitas “keamanan sebagai penjaga gerbang yang menjadi penyebab keterlambatan”.
- Teknologi
Solusi berbasis cloud semakin banyak diadopsi karena DevOps. Untuk mengikuti kecepatan implementasi aplikasi modern, perusahaan-perusahaan harus mengintegrasikan teknologi keamanan lebih awal dalam tahap pengembangan. Untuk bergerak ke arah cara kerja 'bergeser ke kiri', pertimbangkan untuk mengintegrasikan solusi keamanan yang menggunakan pendekatan yang mengutamakan otomatisasi dan yang digerakkan oleh API. Menerapkan teknologi yang terintegrasi dalam langkah-langkah proses pengembangan software tanpa memengaruhi jadwal implementasi memberikan manfaat tambahan karena dapat diulang, diaudit, dan kemungkinan besar akan membuat keamanan menjadi tanggung jawab bersama di seluruh pengembangan, operasional, dan anggota tim keamanan.
Jumlah berita-berita utama di media terkait penyusupan dan serangan siber tidak mungkin menurun. Namun, ketika serangan menjadi lebih terotomatisasi dan terdistribusi, perusahaan-perusahaan dapat menggunakan cara-cara baru untuk meminimalkan paparan ancaman siber sekaligus meningkatkan time-to-value.
Penerapan DevSecOps adalah praktik yang akan terus bertumbuh di tahun-tahun mendatang. Pergeseran konsep dari keamanan sebagai hal yang dipikirkan belakangan menjadi integrasi keamanan dalam proses pengembangan yang lincah dengan tanggung jawab dipikul bersama. Hal ini akan memberikan manfaat yang signifikan dalam upaya perusahaan dalam meminimalkan paparan ancaman terhadap organisasi mereka.