Shift Left Security

TL;DR: Shift Left Security

Shift Left Security berarti memulai pengujian dan penegakan keamanan sedini mungkin dalam proses pengembangan perangkat lunak. Alih-alih menunggu hingga sesaat sebelum penerapan, tim menangani keamanan sejak awal.

Pendekatan ini membantu Anda:

• Menangkap kerentanan lebih awal ketika mereka paling mudah dan murah untuk diperbaiki.
• Memberdayakan pengembang untuk memiliki keamanan tanpa memperlambat alur kerja mereka. Bagaimana jika pemeriksaan keamanan terasa sealamiah uji unit? Dengan membingkai keamanan sebagai sarana pemberdayaan pengembang, kita mendorong motivasi intrinsik untuk mengintegrasikan keamanan secara mulus ke dalam rutinitas sehari-hari. Otonomi ini mendorong pendekatan proaktif terhadap keamanan, meningkatkan produktivitas dan postur keamanan secara keseluruhan.
• Mengurangi biaya pengerjaan ulang dengan memperbaiki masalah selama fase pengkodean daripada di produksi.

Tujuan dari Shift Left Security adalah menjadikan keamanan sebagai bagian berkelanjutan dari proses pengembangan sehingga kode aman secara desain.

Apa Itu Shift Left Security

Shift Left Security adalah strategi untuk keamanan aplikasi. Ini berarti menguji masalah keamanan dan memindai kerentanan saat pengkodean dan pembangunan, bukan hanya selama pengujian atau penerapan.

Dalam model “Waterfall” tradisional, pemeriksaan keamanan terjadi di akhir. Ini sering divisualisasikan sebagai sisi “kanan” dari garis waktu. Menggeser ke kiri memindahkan pemeriksaan ini ke sisi “kiri”. Ini mengintegrasikannya ke dalam Integrated Development Environments (IDEs), repositori Git, dan pipeline CI/CD.

Dalam istilah sederhana :

Shift Left Security berarti menguji kode Anda untuk cacat keamanan saat Anda menulisnya, sehingga Anda tidak mengirimkan bug ke produksi.

Mengapa Shift Left Security Penting

Ketika Anda meninggalkan keamanan untuk tahap akhir pengembangan, Anda menciptakan hambatan. Jika kerentanan kritis ditemukan beberapa hari sebelum peluncuran, Anda harus menunda rilis atau mengirim dengan risiko.

Jadi mengapa Shift Left Security penting?

Memperbaiki bug di produksi mahal. Menurut NIST, memperbaiki cacat di produksi dapat menghabiskan biaya 30 hingga 100 kali lebih mahal daripada memperbaikinya selama pengkodean.

Kecepatan memerlukan otomatisasi. Tim DevOps modern melakukan penyebaran beberapa kali sehari. Tes penetrasi manual tidak dapat mengikuti. Alat ‘left-shifted’ otomatis berjalan dengan setiap komit. Sementara pemindaian otomatis mengungkapkan masalah secara efisien, tinjauan manusia masih memberikan konteks dan penilaian penting, memastikan pendekatan yang seimbang.

Pengembang memerlukan umpan balik cepat. Lebih mudah memperbaiki masalah keamanan saat kode masih segar dalam pikiran mereka, daripada berminggu-minggu kemudian setelah beralih ke hal lain.

Keamanan adalah tanggung jawab bersama. Ini menjembatani kesenjangan antara tim keamanan dan teknik. Ini membuat keamanan menjadi fasilitator daripada penjaga gerbang.

Bagaimana Shift Left Security Bekerja

Shift Left Security menangkap kerentanan dalam kode dan dependensi sebelum aplikasi dibangun atau diterapkan.

1. Deteksi Masalah di IDE (Pra-Komit)

Alat terintegrasi langsung ke dalam lingkungan pengkodean pengembang (VS Code, IntelliJ) untuk menandai masalah secara real-time.

• Static Application Security Testing (SAST): Memindai kode sumber untuk pola pengkodean yang tidak aman (misalnya, injeksi SQL).
• Deteksi Rahasia: Memberi peringatan jika seorang pengembang mencoba menempelkan kunci API atau token ke dalam kode.

Tujuan: Menghentikan kode yang tidak aman agar tidak pernah masuk ke sistem kontrol versi.

2. Otomatisasi Pemindaian dalam CI/CD (Pull Requests)

Pemindaian keamanan berjalan secara otomatis setiap kali kode didorong ke repositori atau Pull Request dibuka.

• Analisis Komposisi Perangkat Lunak (SCA): Memeriksa pustaka sumber terbuka untuk kerentanan yang diketahui (CVE).
• Pemindaian Infrastruktur sebagai Kode (IaC): Memeriksa file Terraform atau Kubernetes untuk kesalahan konfigurasi.

Tujuan: Menangkap masalah selama proses tinjauan sejawat sebelum menggabungkan kode.

3. Penegakan Gerbang Kualitas

Pipelines dikonfigurasi untuk menggagalkan build jika kerentanan dengan tingkat keparahan tinggi terdeteksi.

• Contoh: Jika kerentanan “Kritis” ditemukan dalam gambar Docker, pipeline berhenti. Penerapan diblokir sampai masalah diselesaikan.

Tujuan: Mencegah artefak yang rentan mencapai tahap atau produksi.

4. Umpan Balik Berkelanjutan

Hasil dari pemindaian dikirim langsung ke alat yang digunakan pengembang, seperti Jira, Slack, atau GitHub Issues. Ini menghindari kebutuhan untuk laporan PDF terpisah.

Tujuan: Mengintegrasikan temuan keamanan ke dalam alur kerja rekayasa yang ada.

Risiko Umum yang Terdeteksi oleh Shift Left

Contoh masalah yang dapat dideteksi oleh Shift Left Security sejak dini:

• Rahasia yang Dihardcode: Kunci AWS, kata sandi basis data, atau token API yang dikomit ke Git. Menangkap ini lebih awal tidak hanya mencegah pelanggaran keamanan tetapi juga menghemat waktu dan sumber daya yang diperlukan untuk rotasi kredensial yang mahal di kemudian hari.
• Ketergantungan Rentan: Menggunakan versi lama dari Log4j atau OpenSSL dengan eksploitasi yang diketahui.
• Celah Injeksi: Injeksi SQL (SQLi) atau Cross-Site Scripting (XSS) dalam kode sumber.
• Infrastruktur Tidak Aman: Bucket S3 dengan akses publik atau kontainer yang berjalan sebagai root.
• Pelanggaran Kepatuhan: Kode yang melanggar persyaratan GDPR atau PCI-DSS.

Contoh dalam Praktik

Seorang pengembang sedang mengerjakan fitur login baru untuk aplikasi Node.js.

Tanpa Shift Left: Pengembang menyelesaikan kode, menggabungkannya, dan menerapkannya ke staging. Dua minggu kemudian, tim keamanan menjalankan pemindaian dan menemukan kata sandi basis data yang dihardcode. Campuran frustrasi dan kepanikan muncul saat tim bergegas untuk mengatasi masalah tersebut. Peluncuran yang sangat dinantikan pada hari Jumat terlewatkan, berubah menjadi pertemuan darurat Senin pagi, di mana rilis ditunda. Pengembang ditugaskan untuk menulis ulang modul otentikasi sementara para pemangku kepentingan khawatir tentang penundaan yang tidak diinginkan.

Dengan Shift Left (menggunakan Plexicus):

1. Pengembang melakukan commit kode.
2. Pipeline CI/CD memicu pemindaian Plexicus.
3. Pemindaian mendeteksi kata sandi yang dikodekan secara langsung.
4. Build gagal. Pull Request ditandai dengan nomor baris spesifik.
5. Pengembang menghapus kata sandi, menggunakan variabel lingkungan, dan melakukan commit lagi.
6. Build berhasil.

Hasil: Kerentanan tidak pernah meninggalkan cabang pengembangan. Jadwal rilis tetap sesuai rencana.

Siapa yang Menggunakan Shift Left Security

• Pengembang - untuk memeriksa kode mereka sendiri dari kesalahan sebelum tinjauan rekan.
• Insinyur DevOps - untuk mengotomatisasi gerbang keamanan dalam pipeline CI/CD.
• Tim AppSec / DevSecOps - untuk mengonfigurasi kebijakan dan memantau postur keamanan secara keseluruhan.
• Manajer Teknik - untuk memastikan utang teknis dan risiko keamanan dikelola tanpa memperlambat kecepatan.

Kapan Menerapkan Shift Left Security

Shift Left Security harus diterapkan sepanjang awal SDLC

• Pengembangan Lokal - pre-commit hooks dan plugin IDE.
• Commit Kode - pemindaian otomatis cabang dan Pull Request.
• Artefak Build - pemindaian gambar kontainer dan biner yang dikompilasi.
• Staging - analisis dinamis (DAST) pada aplikasi yang berjalan sebelum dikirim ke produksi

Kemampuan Utama dari Alat Shift Left

Sebagian besar solusi keamanan Shift Left menyediakan:

• SAST (Static Application Security Testing): Menganalisis kode sumber.
• SCA (Software Composition Analysis): Memeriksa pustaka open-source.
• Deteksi Rahasia: Menemukan kredensial yang dikodekan secara keras.
• Keamanan IaC: Memindai konfigurasi infrastruktur.
• Integrasi CI/CD: Plugin asli untuk GitHub, GitLab, Jenkins, dll.
• Remediasi Pertama Pengembang: Menunjukkan dengan tepat di mana perbaikan diperlukan (file dan nomor baris).

Contoh alat: pemindai khusus atau platform terpadu seperti Plexicus ASPM, yang menggabungkan pemindaian kode, rahasia, dan kontainer ke dalam satu alur kerja.

Praktik Terbaik untuk Keamanan Shift Left

• Mulai Kecil: Jangan menghentikan build untuk setiap masalah kecil. Mulailah dengan memblokir hanya temuan dengan tingkat keparahan “Kritis” dan “Tinggi”.
• Minimalkan Positif Palsu: Sesuaikan pemindai Anda untuk menghindari peringatan pada masalah yang tidak relevan sehingga pengembang tidak mengabaikannya.
• Pemindaian Cepat: Pastikan pemeriksaan keamanan tidak menambah waktu yang signifikan pada proses build.
• Edukasi Pengembang: Gunakan temuan sebagai kesempatan belajar daripada hukuman.
• Pindai Semuanya: Cakup kode kepemilikan, dependensi open-source, dan konfigurasi infrastruktur.

Istilah Terkait

• DevSecOps
• SAST (Static Application Security Testing)
• SCA (Software Composition Analysis)
• CI/CD Security