SEC11-BP02 Otomatiskan pengujian sepanjang siklus hidup pengembangan dan rilis

Otomatiskan pengujian untuk karakteristik keamanan sepanjang siklus hidup pengembangan dan rilis. Otomatisasi mempermudah identifikasi yang konsisten dan berulang atas potensi masalah dalam perangkat lunak sebelum rilis, yang mengurangi risiko masalah keamanan dalam perangkat lunak yang disediakan.

Hasil yang diinginkan: Tujuan pengujian otomatis adalah menyediakan cara terprogram dalam mendeteksi potensi masalah lebih dini dan lebih sering sepanjang siklus hidup pengembangan. Saat Anda mengotomatiskan pengujian regresi, Anda dapat menjalankan kembali pengujian fungsional dan nonfungsional untuk memastikan bahwa perangkat lunak yang diuji sebelumnya masih berfungsi seperti yang diharapkan setelah perubahan. Saat Anda mendefinisikan pengujian unit keamanan untuk memeriksa apakah ada kesalahan konfigurasi umum, seperti autentikasi yang rusak atau hilang, Anda dapat mengidentifikasi dan memperbaiki masalah ini lebih dini dalam proses pengembangan.

Otomatisasi pengujian menggunakan kasus pengujian yang dibuat berdasarkan tujuan untuk validasi aplikasi, berdasarkan persyaratan aplikasi dan fungsionalitas yang diinginkan. Hasil pengujian otomatis berdasarkan perbandingan output pengujian yang dibuat dengan output yang diharapkan, sehingga mempercepat keseluruhan siklus hidup pengujian. Metodologi pengujian seperti pengujian regresi dan rangkaian pengujian unit adalah pilihan yang terbaik untuk otomatisasi. Otomatisasi pengujian karakteristik keamanan memungkinkan builder menerima umpan balik otomatis tanpa harus menunggu peninjauan keamanan. Pengujian otomatis dalam bentuk analisis kode statis atau dinamis dapat meningkatkan kualitas kode dan membantu mendeteksi potensi masalah perangkat lunak lebih dini dalam siklus hidup pengembangan.

Antipola umum:

• Tidak menyampaikan kasus pengujian dan hasil pengujian dari pengujian otomatis.

• Hanya menjalankan pengujian otomatis segera sebelum rilis.

• Mengotomatiskan kasus pengujian dengan berulang kali mengubah persyaratan.

• Gagal memberikan panduan mengenai cara menangani hasil pengujian keamanan.

Manfaat menjalankan praktik terbaik ini:

• Menurunkan dependensi pada orang yang mengevaluasi karakteristik keamanan sistem.

• Memiliki temuan yang konsisten di beberapa aliran kerja meningkatkan konsisten.

• Menurunkan kemungkinan munculnya masalah keamanan dalam produksi perangkat lunak.

• Periode waktu lebih pendek antara deteksi dan penyelesaian karena mengidentifikasi masalah perangkat lunak lebih dini.

• Meningkatkan visibilitas perilaku sistemik atau berulang di beberapa aliran kerja, yang dapat digunakan untuk mendorong peningkatan berskala organisasi.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan: Sedang

Panduan implementasi

Saat Anda membuat perangkat lunak, adopsi beragam mekanisme untuk pengujian perangkat lunak guna memastikan bahwa Anda menguji aplikasi untuk kedua persyaratan aplikasi, berdasarkan logika bisnis aplikasi, dan persyaratan nonfungsional, yang fokus pada keandalan, performa, dan keamanan aplikasi.

Pengujian keamanan aplikasi statis (SAST) menganalisis kode sumber Anda untuk mendeteksi pola keamanan anomali dan memberikan indikasi untuk kode yang rawan cacat. SAST mengandalkan input statis, seperti dokumentasi (spesifikasi persyaratan, dokumentasi desain, dan spesifikasi desain) dan sumber kode aplikasi untuk menguji beragam masalah keamanan yang diketahui. Penganalisis kode statis dapat membantu mempercepat analisis kode dalam volume besar. NIST Quality Group menyediakan perbandingan Penganalisis Keamanan Kode Sumber, yang menyertakan alat sumber terbuka untuk Pemindai Kode Bita dan Pemindai Kode Biner.

Lengkapi pengujian statis Anda dengan metodologi pengujian keamanan analisis dinamis (DAST), yang menjalankan pengujian terhadap aplikasi yang berjalan untuk mengidentifikasi potensi perilaku yang tidak diharapkan. Pengujian dinamis dapat digunakan untuk mendeteksi potensi masalah yang tidak terdeteksi melalui analisis statis. Pengujian di tahap repositori kode, build, dan pipeline memungkinkan Anda memeriksa berbagai jenis potensi masalah agar tidak masuk ke dalam kode Anda. Amazon CodeWhisperer menyediakan rekomendasi kode, termasuk pemindaian keamanan, di IDE builder. Amazon CodeGuru Reviewer dapat mengidentifikasi masalah penting, masalah keamanan, dan bug yang sulit ditemukan selama pengembangan aplikasi, dan menyediakan rekomendasi untuk meningkatkan kualitas kode.

Lokakarya Keamanan untuk Developer menggunakan alat developer AWS, seperti AWS CodeBuild, AWS CodeCommit, dan AWS CodePipeline, untuk otomatisasi pipeline rilis yang menyertakan metodologi pengujian SAST dan DAST.

Saat Anda menjalani SDLC, buat proses iteratif yang menyertakan peninjauan aplikasi berkala bersama tim keamanan Anda. Umpan balik yang didapatkan dari peninjauan keamanan ini harus diatasi dan divalidasi sebagai bagian dari peninjauan kesiapan rilis Anda. Tinjauan ini membuat postur keamanan aplikasi yang kokoh, dan memberikan umpan balik yang dapat ditindaklanjuti kepada builder untuk menangani potensi masalah.

Langkah implementasi

• Implementasikan IDE yang konsisten, peninjauan kode, dan alat CI/CD yang menyertakan pengujian keamanan.

• Pertimbangkan posisi yang tepat dalam SDLC untuk memblokir pipeline daripada hanya memberi tahu builder bahwa masalah perlu diselesaikan.

• Lokakarya Keamanan untuk Developer memberikan contoh mengintegrasikan pengujian statis dan dinamis ke dalam pipeline rilis.

• Menjalankan pengujian atau analisis kode menggunakan alat otomatis, seperti Amazon CodeWhisperer yang diintegrasikan dengan IDE developer, dan Amazon CodeGuru Reviewer untuk memindai kode dalam penerapan, membantu builder mendapatkan umpan balik pada waktu yang tepat.

• Saat membangun menggunakan AWS Lambda, Anda dapat menggunakan Amazon Inspector untuk memindai kode aplikasi dalam fungsi Anda.

• Lokakarya CI/CD AWS menyediakan titik awal dalam membangun pipeline CI/CD pada AWS.

• Saat pengujian otomatis disertakan dalam pipeline CI/CD, Anda harus menggunakan sistem tiket untuk melacak notifikasi dan penyelesaian masalah perangkat lunak.

• Untuk pengujian keamanan yang mungkin menghasilkan temuan, menautkan ke panduan untuk penyelesaian membantu builder meningkatkan kualitas kode.

• Analisis temuan secara berkala dari alat otomatis untuk memprioritaskan otomatisasi berikutnya, pelatihan builder, atau kampanye kesadaran.

Sumber daya

Dokumen terkait:

• Pengiriman Berkelanjutan dan Deployment Berkelanjutan

• Partner Kompetensi DevOps AWS

• Partner Kompetensi Keamanan AWS untuk Keamanan Aplikasi

• Memilih pendekatan CI/CD Well-Architected

• Memantau peristiwa CodeCommit di Amazon EventBridge dan Amazon CloudWatch Events

• Deteksi rahasia dalam Peninjauan Amazon CodeGuru

• Percepat deployment di AWS dengan tata kelola yang efektif

• Cara AWS memanfaatkan otomatisasi deployment yang aman tanpa campur tangan

Video terkait:

• Tanpa campur tangan: Mengotomatiskan pipeline pengiriman berkelanjutan di Amazon

• Mengotomatiskan pipeline CI/CD lintas akun

Contoh terkait:

• Kesadaran industri untuk developer

• Tata Kelola AWS CodePipeline (GitHub)

• Lokakarya Keamanan untuk Developer

• Lokakarya CI/CD AWS