Penjelasan Secure SDLC menurut Menurut Konsep Gary McGraw

Posted on

SDLC mungkin teman-teman sudah sangat memahami, ya betul, System Development Life Cycle. SDLC adalah salah satu model pengembangan sistem yang menurut saya sederhana namun worth-it banget. Hanya saja, kadang-kadang sedikit nyerempet ke agile kalo dalam praktik perkembangan dunia industri sekarang-sekarang ini.

Balik ke topik, lalu apa yang dibicarakan si McGraw tentang SDLC ini? Sebelumnya, mungkin teman-teman perlu tau McGraw adalah salah seorang computer-scientist, penulis juga asal Amerika. Ada beberapa bukunya yang lumayan banyak jadi rujukan.

Garry McGraw dalam bukunya Software Security: Building Security In, menjelaskan konsep Secure SDLC. Apakah itu?

Secure SDLC sederhananya adalah konsep SDLC seperti yang kita tahu, namun disetiap lini proses kita tambahkan atau terapkan aspek-aspek keamanan.

Hal tersebut demi meningkatkan kualitas software dalam aspek keamanannya. Bener juga sih, hemat saya, dari pada kita asal buat software, kemudian testing, dan di reject sama tester, akan lebih nyaman kita terapkan aspek-aspek keamanan sedari proses pengembangan sehingga akan menghemat waktu dan meningkatkan kualitas software.

Konsep SDLC

Konsep SDLC bisa teman-teman lihat pada gambar dibawah ini:

SDLC

Jadi dalam pengembangan model SDLC, kita awali dengan Requirements Analysis, atau menentukan kebutuhannya terlebih dahulu, kemudian melakukan desain, melakukan develop atau bangun aplikasinya, testing dan yang terakhir maintenance.

Sampai disini untuk teman-teman yang biasa berkutat di dunia pengembangan software, atau adek-adek mahasiswa IT mungkin sudah paham.

Konsep Secure SDLC

Kemudian seperti apa konsep Secure SDLC menurut Garry McGraw? Bisa coba kita perhatikan gambar berikut:

Secure SDLC

Bisa teman-teman perhatikan, baris berwarna biru tua itu adalah roadmap pengembangan, atau konsep SDLC tradisional: Requirements > Design > Test > Code > Test Results > Feedback.

Agak beda dikit, tapi secara poin sama dengan gambar sebelumnya. Nah, kemudian coba perhatikan beberapa aspek-aspek keamanan (yang berwarna biru) yang ada pada gambar, sangat dipertimbangkan di setiap tahapan SDLC.

Security Requirements

Pada dasarnya kebutuhan akan keamanan sangat bergantung seberapa care klien dan pengembang terhadap data yang dikelola. Kebutuhan akan keamanan perlu juga didefinisikan, sebagaimana kebutuhan akan aplikasi yang lainnya. Mungkin bisa kita buatkan line khusus untuk bagian ini?

Kenapa, seperti yang kita tahu, dan sudah sering saya bilang, kalau kita punya 3 bulan, 2 bulan itu adalah analisis, dan sisanya pengembangan langsung. Maksud saya, betapa saya sangat menghargai peran proses analisis. Termasuk didalamnya sewaktu mendefenisikan kebutuhan.

Karena, kebutuhan yang tidak didefinisikan dengan baik, akan selalu bertambah seiring waktu. Tak masalah kalau dalam waktu yang lumayan long term ya, cuma kalo pengembangan belum selesai ternyata requirements nya yang nambah? Repot juga.

Hal tersebut juga berlaku dalam mendefinisikan keamanan. Jadi, perlu juga di pertimbangkan diawal terkait aspek apa saja yang perlu kita jadikan acuan dalam mengembangkan software.

Terimakasih, semoga dapat bermanfaat bagi yang membaca 🙂