Fenomena serupa pun terjadi di lingkungan keamanan aplikasi. Organisasi development yang baru mengenal software security seringkali memandang keamanan aplikasi dari sisi tool saja. Mereka menjalankan satu atau dua tool untuk mengidentifikasi masalah keamanan, kemudian memperbaikinya di source code. Tim keamanan akan menjalankan sebanyak mungkin tool untuk meminimalkan risiko, dan berharap tim development akan menambal sebanyak mungkin lubang keamanan. Di sisi lain, tim development juga berharap sesedikit mungkin ada gangguan agar aplikasi bisa segera sampai ke tangan pelanggan.
Masalahnya adalah security tools dapat memunculkan terlalu banyak hasil (informasi adanya masalah keamanan). Ketika harus menghadapi begitu banyak laporan tentang kerentanan, tim development sepertinya akan angkat tangan, putus asa, dan akhirnya mengabaikan hasil-hasil yang disampaikan tool keamanan tadi. Inilah yang disebut vulnerability overload.
Buat Prioritas
Masalah besar, seperti pemanasan global atau kekerasan bersenjata, terlihat sulit diselesaikan. Dalam kasus keamanan aplikasi, masalahnya jadi menakutkan. “Jika empat security tool yang berbeda melaporkan 2.377 temuan dan para developer memiliki waktu lima hari untuk menyiapkan aplikasi yang akan dirilis, apa yang harus mereka lakukan?".
Kemajuannya tidak akan banyak karena perubahan tidak dilakukan sekaligus. Temuan dari tool keamanan bisa dibuatkan prioritas dengan berbagai cara. Anda bisa memilah dari sekian banyak isu berdasarkan risiko dan menangani dari yang paling berbahaya.
Anda dapat menggunakan pendekatan yang sama dalam menerapkan keamanan dalam development workflow. Daripada melemparkan semua masalah ke tim development, Anda dapat mengimplementasikan pendekatan berbasis kebijakan sehingga jenis-jenis tertentu temuan keamanan secara otomatis diintegrasikan ke development issue tracker. Jika volume masalahnya masih masuk akal, developer akan beradaptasi dan berupaya meningkatkan keamanan seperti mereka mengatasi isu-isu lainnya.
Developer tidak suka mengulang pekerjaan. Begitu memahami satu kelemahan pada keamanan, kecil kemungkinan mereka akan mengulanginya.
Lakukan Langkah Kecil
Satu alasan mengapa manusia enggan berhadapan dengan tantangan yang berat, mereka menganggap percuma, apapun yang mereka lakukan tidak akan ada bedanya.
Namun satu hal yang pasti, tidak akan ada perubahan jika kita tidak mencoba. Jika Anda ingin meningkatkan keamanan aplikasi, lakukan sesuatu. Mulailah dari mana saja.
Pertimbangkan untuk memasukkan threat modeling ke design process. Jalankan tool static application security testing (SAST), seperti Coverity®, pada source code. Buat komitmen yang bisa dicapai untuk mengatasi masalah keamanan dengan risiko paling besar.
Gunakan tool interactive application security testing (IAST), misalnya Seeker®, pada aplikasi web. Dan buat komitmen yang mudah dicapai untuk menangani masalah keamanan dengan risiko tertinggi.
Integrasikan security tool di issue tracker sehingga masalah keamanan akan ditangani para developer seperti isu-isu lainnya. Jadikan keamanan sebagai bagian dalam keseharian tim development.
Lakukan dari hal kecil, dan tingkatkan secara bertahap. Rayakan kesuksesan dan belajar dari kesalahan.
Keamanan aplikasi tidak dapat dipisahkan dari pengembangan aplikasi. Lakukan secara perlahan dan hati-hati sampai tercapai tingkat risiko yang dibutuhkan aplikasi.