source gambar: https://cdn.prod.website-files.com/6146143fd598aae11fb65972/63735c1aedc0a76fc527ccd8_Image-7.png
DevSecOps merupakan gabungan dari tiga area yang berbeda, yakni development, security, dan juga operational. Ini merupakan inovasi yang merevolusi cara tim IT bekerja dengan mengutamakan kolaborasi, otomatisasi dan juga keamanan. Seiring dengan zaman, meningkatnya kecepatan dan frekuensi rilis perangkat lunak, tantangan keamanan menjadi semakin kompleks.
Kebocoran data seringkali berasal dari kurangnya kesadaran dan kewapadaan dari tim IT, baik internal tim maupun vendor / thirdparty, serta pengguna yang lalai. Kompleksitas password hanya berupa satu parameters bagi pengguna dalam mengamankan data personal, akan tetapi secara sadar kita ketahui sebagai masyarakat awam, bahwa data-data tersebut akan di simpan di dalam database pada ekosistem platform / aplikasi.
Bagi masyarakat awam, sebuah aplikasi tercipta dengan membuat kode dalam berbagai bahasa pemograman yang di pilih, yang kemudian kode itu akan di simpan di dalam penyimpanan kode, atau biasa dikenal dengan repository. Banyak platform besar sebagai wadah untuk repository ini, misalnya saja GitHub, GitLab, Bitbucket, Azure Dev Ops, Gitter, dan masih banyak lainnya.
Repository ini secara visibilitas atau secara hak akses, bisa di lihat secara publik ataupun private. Cenderung kesalahan terbesar dari tim IT adalah menaruh kode sumber ke GitHub atau sejenisnya secara publik. Ini pintu awal yang menjadi trigger utama bagi penyerang untuk dijadikan peluang dalam menyandera / mengakses data-data yang ada di server.
Sebut saja startup-startup besar di Indonesia pernah mengalaminya. Hal yang konyol adalah beberapa di antara itu justru malah CTO nya lah yang mempublish itu secara publik, dimana configurasi server, mulai dari akses ssh, akses database, akses smtp email, semuanya ada disana. Padahal notabene nya bahwa mereka telah menerapkan DevSecOps secara optimal.
Disisi lain, dari beberapa use cases yang ada, setiap kode sumber yang di simpan di dalam git repository, ketika kita ingin men-deploy dengan cara cloning repository, hal yang sering diabaikan adalah bahwa folder .git juga lupa untuk di buang, hal ini berdampak pada mudah nya kode sumber untuk di kloning ulang oleh penyerang, misalkan domain kita https://example.com, hanya dengan perintah git clone https://example.com/.git atau dengan men-dumping folder .git, maka kode sumber tadi sudah bisa di re-enginering oleh penyerang.
Kesadaran akan security bukan hanya menjadi tanggung jawab dari orang yang bekerja sebagai security officer, network infrastructure, ataupun devops, tapi ini juga menjadi tanggung jawab kita sebagai developer, qa/qc, pmo, dan juga tech writer.
Mari berdiskusi...
Salam.
