Perpustakaan Digital ITB

Di tengah pesatnya era digital, ketergantungan pada aplikasi perangkat lunak diiringi dengan peningkatan ancaman siber yang semakin canggih. Pendekatan keamanan tradisional yang menempatkan pengujian di akhir siklus pengembangan (SDLC) terbukti tidak lagi relevan untuk mengimbangi kecepatan metodologi DevOps, sehingga meningkatkan risiko kerentanan lolos ke lingkungan produksi. DevSecOps hadir sebagai paradigma solutif dengan mengintegrasikan keamanan sebagai tanggung jawab bersama di setiap fase pengembangan melalui prinsip shiftleft dan otomatisasi. Meskipun demikian, implementasinya menghadapi tantangan seperti kompleksitas integrasi alat dan potensi overhead pada pipeline CI/CD. Penelitian ini bertujuan merancang, mengimplementasikan, dan mengevaluasi efektivitas sebuah pipeline DevSecOps yang komprehensif untuk meningkatkan keamanan aplikasi web modern. Fokus utama penelitian adalah mengotomatiskan deteksi kerentanan menggunakan serangkaian alat keamanan open-source dan mengelola hasilnya secara terpusat. Metode penelitian yang digunakan meliputi perancangan sistem dengan empat objektif utama: aman, efisien, skalabel, dan mudah dikelola. Proses ini melibatkan analisis kebutuhan, pengembangan alternatif desain untuk setiap subsistem, dan pemilihan solusi terbaik menggunakan metode pembobotan. Sistem yang terpilih diimplementasikan pada infrastruktur Kubernetes di DigitalOcean yang dikelola menggunakan Terraform sebagai Infrastructure as Code. Tiga aplikasi web dengan kerentanan yang sengaja disisipkan dikembangkan dalam bahasa Go, Python, dan Node.js sebagai target pengujian. Pipeline CI/CD diotomatisasi menggunakan GitHub Actions, yang mengintegrasikan berbagai lapisan pemindaian keamanan: Software Composition Analysis (SCA) dengan OSV-Scanner, Static Application Security Testing (SAST) dengan Bearer CLI dan Gosec, Container Scanning dengan Trivy, serta Dynamic Application Security Testing (DAST) dengan OWASP ZAP. Seluruh hasil pemindaian keamanan dari berbagai alat tersebut diagregasi dan dikelola secara terpusat menggunakan ii Vulnerability Management System (VMS) DefectDojo yang juga di-deploy di klaster Kubernetes. Hasil pengujian menunjukkan bahwa pipeline DevSecOps yang diimplementasikan sangat efektif dan efisien. Sistem berhasil mendeteksi critical vulnerability dari OWASP Top 10 pada setiap tahap deteksi keamanan, melampaui target yang ditetapkanDari sisi operasional, keseluruhan proses pipeline dari commit hingga deployment berhasil diselesaikan dengan waktu rata-rata di bawah 15 menit, dengan konsumsi sumber daya yang minimal (3.8 vCPU dan 7.2 GB RAM), membuktikan efisiensi desain. Integrasi dengan DefectDojo memungkinkan pengelolaan 80 temuan kerentanan kritis secara terpusat, dengan laporan yang dapat diakses melalui antarmuka pengguna maupun API untuk analisis lebih lanjut. Penelitian ini memberikan kontribusi berupa cetak biru praktis yang teruji untuk implementasi keamanan otomatis dalam alur kerja DevSecOps menggunakan tumpukan teknologi open-source. Sistem ini dapat diadopsi oleh tim pengembang atau institusi dengan sumber daya terbatas untuk membangun aplikasi yang lebih aman secara proaktif, efisien, dan terukur