Keamanan aplikasi

Keamanan aplikasi (AppSec) menjelaskan proses keseluruhan mengenai cara Anda mendesain, membangun, dan menguji karakteristik keamanan dari beban kerja yang Anda kembangkan. Anda harus melatih orang di organisasi Anda dengan baik, memahami karakteristik keamanan dari build Anda dan merilis infrastruktur, serta menggunakan otomatisasi untuk mengidentifkasi masalah keamanan.

Mengadopsi pengujian keamanan aplikasi sebagai bagian dari siklus hidup pengembangan perangkat lunak (SDLC) Anda dan memposting proses rilis membantu memastikan bahwa Anda memiliki mekanisme terstruktur untuk mengidentifikasi, memperbaiki, dan mencegah masalah keamanan aplikasi masuk ke lingkungan produksi Anda.

Metodologi pengembangan aplikasi Anda harus menyertakan kontrol keamanan saat Anda mendesain, membangun, men-deploy, dan mengoperasikan beban kerja Anda. Saat melakukannya, selaraskan proses demi penurunan kecacatan yang terus-menerus dan meminimalkan utang teknis. Misalnya, menggunakan pemodelan ancaman dalam fase desain membantu Anda menemukan kecacatan desain lebih dini, dan kecacatan ini lebih mudah diatasi serta tidak terlalu mahal dibandingkan menunggu dan memperbaikinya nanti.

Biaya dan kompleksitas untuk mengatasi kecacatan biasanya lebih rendah jika Anda masuk ke dalam fase SDLC lebih dini. Cara termudah untuk mengatasi masalah ini adalah mengupayakan agar tidak ada kecacatan dari awal. Oleh karena itu, memulai dengan model ancaman membantu Anda fokus mendapatkan hasil yang tepat dari fase desain. Saat program AppSec Anda berkembang, Anda dapat meningkatkan jumlah pengujian yang dilakukan menggunakan otomatisasi, meningkatkan fidelitas umpan balik ke builder, dan menurunkan waktu yang diperlukan untuk peninjauan keamanan. Semua tindakan ini meningkatkan kualitas perangkat lunak yang Anda bangun, dan meningkatkan kecepatan penyiapan fitur untuk masuk ke produksi.

Pedoman implementasi ini berfokus pada empat bidang: organisasi dan budaya, keamanan dari pipeline, keamanan dalam pipeline, dan manajemen dependensi. Setiap area menyediakan sekumpulan prinsip yang dapat Anda implementasikan, dan menyediakan tampilan menyeluruh mengenai cara Anda mendesain, mengembangkan, membangun, men-deploy, dan mengoperasikan beban kerja.

Di AWS, ada beberapa pendekatan yang dapat Anda gunakan saat menangani program keamanan aplikasi Anda. Beberapa pendekatan ini bergantung pada teknologi, sedangkan yang lain fokus pada orang dan aspek organisasi dari program keamanan aplikasi Anda.