This is the Trace Id: f78cd3fea8d6f1c10214043ca49a6a8e
Lompati ke konten utama Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel Tampilkan semua produk Keamanan cyber yang didukung AI Keamanan cloud Tata kelola dan keamanan data Akses jaringan dan identitas Manajemen risiko dan privasi Keamanan untuk AI Bisnis kecil & menengah SecOps Terpadu Zero Trust Harga Layanan Mitra Mengapa memilih Microsoft Security Kesadaran keamanan cyber Kisah pelanggan Dasar-Dasar Keamanan Uji coba produk Pengakuan industri Microsoft Security Insider Microsoft Digital Defense Report Security Response Center Blog Microsoft Security Acara Microsoft Security Komunitas Teknologi Microsoft Dokumentasi Pustaka Isi Teknis Pelatihan & sertifikasi Program Kepatuhan untuk Microsoft Cloud Pusat Kepercayaan Microsoft Service Trust Portal Microsoft Secure Future Initiative Hub Solusi Bisnis Hubungi Bagian Penjualan Mulai percobaan gratis Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft AI Azure Space Realita campuran Microsoft HoloLens Microsoft Viva Komputasi kuantum Pendidikan Otomotif Layanan keuangan Pemerintah Layanan Kesehatan Produksi Eceran Cari mitra Jadilah mitra Jaringan Mitra Microsoft Marketplace Perusahaan perangkat lunak Blog Microsoft Advertising Pusat Pengembang Dokumentasi Acara Pemberian Lisensi Microsoft Learn Microsoft Research Lihat Peta Situs
Seseorang sedang bekerja menggunakan laptop di meja kayu di samping jendela yang dihiasi tanaman.

Apa itu DevSecOps?

Pelajari bagaimana DevSecOps menyematkan keamanan di seluruh lingkungan pengembangan dan cloud untuk mengurangi risiko sekaligus mempertahankan kecepatan pengiriman dan kepatuhan.
Jelajahi solusi Microsoft
DevSecOps mengintegrasikan keamanan ke dalam setiap tahap pengembangan perangkat lunak modern, menyematkan pengujian otomatis, tata kelola identitas, dan kepatuhan berkelanjutan ke dalam alur kerja DevOps. Dengan DevSecOps, organisasi dapat mengelola risiko dengan lebih baik di seluruh kode, alur, dan lingkungan multicloud sambil mempertahankan kecepatan pengiriman, menyelaraskan praktik rekayasa dengan keamanan perusahaan dan persyaratan peraturan.
  • DevSecOps menyematkan keamanan di seluruh siklus hidup pengembangan perangkat lunak dan memperluas DevOps dengan menambahkan kontrol keamanan dan kepatuhan berkelanjutan.
  • CNAPP menyatukan manajemen postur, perlindungan beban kerja, identitas, dan kepatuhan.
  • Otomatisasi dan kebijakan sebagai kode menegakkan keamanan dalam skala besar di alur CI/CD, sementara akses hak istimewa minimal mengurangi risiko identitas di seluruh repositori dan beban kerja cloud.
  • Intelijen ancaman meningkatkan prioritas kerentanan dan fokus perbaikan.
  • Pengujian shift-left dan pemantauan berkelanjutan mendukung pengiriman yang aman dan cepat.
  • Tantangan umum mencakup sprawl alat, kesenjangan keterampilan, kompleksitas kepatuhan, dan risiko kode yang dihasilkan AI.

Apa itu DevSecOps di lingkungan cloud modern?

DevSecOps adalah pendekatan pengembangan perangkat lunak yang mengintegrasikan keamanan ke setiap fase siklus hidup DevOps. Alih-alih memperlakukan keamanan sebagai tinjauan akhir sebelum rilis, DevSecOps menyematkan kontrol keamanan otomatis langsung ke jalur integrasi berkelanjutan dan pengiriman berkelanjutan (CI/CD). Tujuannya adalah membangun perangkat lunak yang aman dan berkualitas tinggi dengan cepat.

DevSecOps berevolusi dari DevOps, yang berfokus pada peningkatan kolaborasi antara tim pengembangan dan operasional untuk mempercepat pengiriman. Seiring meningkatnya adopsi cloud dan semakin singkatnya siklus rilis, tim keamanan membutuhkan cara untuk mengikuti laju tersebut. DevSecOps memperluas DevOps dengan menjadikan keamanan sebagai tanggung jawab bersama, didukung oleh otomatisasi, penegakan kebijakan, dan pengujian berkelanjutan.

Di lingkungan modern, DevSecOps beroperasi dalam strategi keamanan asli cloud yang lebih luas, sering kali dikirimkan melalui Platform perlindungan aplikasi cloud-native (CNAPP): Baca selengkapnya tentang CNAPP platform perlindungan aplikasi cloud native (CNAPP). CNAPP menyediakan visibilitas terpadu di seluruh alur pengembangan dan lingkungan runtime, membantu tim menyelaraskan manajemen postur, perlindungan runtime, kontrol identitas, dan pemantauan kepatuhan. Praktik DevSecOps mendukung strategi ini dengan mengidentifikasi dan menyelesaikan risiko sejak dini, sebelum risiko tersebut mencapai lingkungan produksi.

Beberapa pendorong bisnis membentuk perubahan ini. Organisasi mengelola infrastruktur multicloud, tim yang tersebar, dan kode yang dihasilkan AI yang mempercepat pengembangan tetapi dapat menimbulkan risiko baru. Persyaratan regulasi terus bertambah. Penegakan kebijakan berkelanjutan di seluruh alur dan lingkungan cloud membantu mempertahankan kontrol tanpa memperlambat inovasi. DevSecOps adalah model di mana kecepatan dan keamanan saling memperkuat, bukan bersaing.

DevSecOps vs. DevOps: Apa perbedaannya?

DevOps meningkatkan cara tim pengembangan dan operasional bekerja sama. Ini menekankan otomatisasi, siklus rilis yang lebih cepat, dan kepemilikan bersama atas performa aplikasi. Tujuan utamanya adalah kecepatan dengan stabilitas.

DevSecOps membangun fondasi itu dengan mengintegrasikan keamanan dan kepatuhan berkelanjutan ke dalam alur kerja yang sama. Alih-alih menambahkan tinjauan keamanan di akhir pengembangan, DevSecOps menyematkan kontrol otomatis langsung ke alur, templat infrastruktur, dan lingkungan cloud.

Perbedaannya menjadi lebih jelas dalam skenario cloud modern. DevOps mempercepat penyebaran di seluruh infrastruktur multicloud. DevSecOps menangani risiko yang muncul dari skala tersebut, termasuk:
 
  • Penyalahgunaan identitas dalam alur build

  • ⁠Kerentanan rantai pasokan perangkat lunak dalam paket pihak ketiga

  • ⁠Kesalahan konfigurasi infrastruktur dalam sumber daya cloud

  • Rahasia yang terekspos di repositori kode sumber
Sebagai contoh, alur DevOps dapat secara otomatis membangun dan menyebarkan aplikasi berbasis kontainer setelah sebuah penerapan kode. Alur DevSecOps menambahkan pemindaian kerentanan otomatis, deteksi rahasia, analisis dependensi, dan pemeriksaan kebijakan sebelum penyebaran dilanjutkan. Jika kerentanan kritis atau kredensial yang terekspos ditemukan, alur memblokir rilis sampai masalah itu diselesaikan.

Berikut perbandingan sederhana:
 
  • ⁠DevOps: Kecepatan, otomatisasi, kolaborasi

  • ⁠DevSecOps: Kecepatan, otomatisasi, kolaborasi, plus keamanan dan kepatuhan terintegrasi
DevSecOps memastikan bahwa pengiriman yang cepat tidak menimbulkan risiko yang tidak terkendali dengan menyelaraskan kecepatan pengembangan dengan akuntabilitas keamanan di seluruh tim yang tersebar dan lingkungan cloud yang kompleks.

Cara kerja DevSecOps di seluruh siklus hidup perangkat lunak

DevSecOps mencakup seluruh siklus hidup pengembangan perangkat lunak—dari perencanaan awal hingga pemantauan berkelanjutan—dengan mengintegrasikan keamanan di setiap fase. Berikut cara kerjanya:

Planning: Tim menentukan persyaratan keamanan, kewajiban kepatuhan, dan ambang risiko bersama dengan tujuan fungsional. Kebijakan dikodifikasi lebih awal untuk memandu keputusan pengembangan.

Pemrograman: Pengembang menulis kode dengan pengamanan bawaan seperti pustaka yang aman, tata kelola rahasia, dan kontrol ketergantungan. Pemindaian otomatis memeriksa kredensial yang terekspos dan paket yang rentan saat kode dikirimkan.

Bangunan: Alur integrasi berkelanjutan mengompilasi kode dan menjalankan analisis statis, analisis komposisi perangkat lunak, dan penandatanganan artefak untuk melindungi rantai pasokan perangkat lunak.

Pengujian: Pengujian keamanan otomatis mengidentifikasi kerentanan, kesalahan konfigurasi, dan pelanggaran kebijakan sebelum penyebaran. Wawasan risiko secara real time membantu tim memprioritaskan perbaikan berdasarkan dampaknya.

Penyebaran: Templat infrastruktur sebagai kode divalidasi terhadap kontrol kebijakan sebagai kode untuk mencegah konfigurasi yang tidak aman di lingkungan multicloud.

Pemantauan: Pemantauan berkelanjutan mendeteksi ancaman saat runtime, penyalahgunaan identitas, dan penyimpangan konfigurasi di lingkungan produksi.

Model DevSecOps mencerminkan siklus hidup pengembangan yang aman dan modern yang dibangun berdasarkan prinsip shift-left. Pengujian keamanan dan penegakan kebijakan dimulai lebih awal dan berlanjut sepanjang alur. Automasi dan siklus umpan balik memberikan visibilitas berkelanjutan terhadap risiko.

CNAPP mendukung pendekatan ini dengan menghadirkan penegakan kebijakan terpadu, pengelolaan eksposur, kontrol berbasis identitas, dan deteksi salah konfigurasi di seluruh lingkungan pengembangan dan runtime.

DevSecOps terintegrasi langsung dengan alat CI/CD seperti GitHub Actions dan Azure DevOps untuk mendukung kontrol keamanan yang konsisten tanpa mengganggu kecepatan pengiriman.

Komponen utama strategi DevSecOps

DevSecOps menggabungkan proses, automasi, dan tata kelola ke dalam model operasi terpadu. Meski alat berperan penting, keberhasilan benar-benar bergantung pada cara tim menerapkannya di seluruh lingkungan pengembangan dan cloud—membuat DevSecOps sama pentingnya soal pola pikir maupun teknologi.

Di level platform, CNAPP menyediakan tulang punggung terpadu yang diandalkan tim DevSecOps. Ini menghubungkan manajemen postur, pemindaian infrastruktur sebagai kode (IaC), perlindungan beban kerja, keamanan kontainer, manajemen paparan, dan tata kelola identitas ke model keamanan berkelanjutan.

Komponen dasar dari strategi DevSecOps meliputi:

  • Praktik pengodean yang aman. Para pengembang membangun perangkat lunak dengan keamanan yang disertakan sejak awal perancangan, menggunakan pustaka yang disetujui, repositori yang aman, dan perlindungan lingkungan pengembangan terintegrasi yang mengurangi risiko sejak awal.

  • Otomatisasi dan integrasi CI/CD. Pemeriksaan keamanan berjalan terus-menerus di dalam alur, termasuk pemindaian kode, analisis dependensi, penandatanganan artefak, dan validasi kebijakan.

  • Manajemen identitas dan akses. Penerapan prinsip akses hak akses minimal di seluruh repositori, alur, sumber daya cloud, dan akun layanan mengurangi penyalahgunaan identitas dan pergerakan lateral.

  • Kepatuhan dan tata kelola. Kebijakan sebagai kode menegakkan standar yang selaras dengan kerangka kerja seperti Organisasi Internasional untuk Standardisasi (ISO), Sistem dan Kontrol Organisasi (SOC), dan National Institute of Standards and Technology (NIST), yang mendukung kesiapan audit.

  • Pemantauan berkelanjutan. Kontrol pasca-penyebaran mendeteksi kerentanan, penyimpangan konfigurasi, dan ancaman saat runtime.

  • Kolaborasi dan budaya. Keamanan menjadi tanggung jawab bersama di seluruh tim pengembangan, operasi, dan keamanan.
DevSecOps membutuhkan tata kelola identitas yang kuat, disiplin postur cloud, dan kontrol yang melindungi pengembangan yang dilakukan oleh manusia maupun mesin.

Tata kelola identitas di seluruh alur adalah fondasi. Akun layanan, agen, dan skrip otomatisasi sering kali memiliki hak akses yang lebih tinggi. Tanpa penegakan prinsip hak akses minimal, identitas ini menjadi target bernilai tinggi. DevSecOps menerapkan berbasis perankontrol akses, akses tepat waktu, dan pemantauan kredensial berkelanjutan di seluruh repositori, alur, dan sumber daya cloud. Rahasia disimpan di brankas yang dikelola, bukan disematkan dalam kode. Kebijakan akses dikontrol versinya dan ditinjau seperti kode aplikasi.

Kontrol postur cloud memastikan infrastruktur tetap selaras dengan standar keamanan yang ditentukan. Templat infrastruktur sebagai kode dievaluasi berdasarkan kebijakan sebelum diterapkan. Setelah penyebaran, pemantauan postur berkelanjutan mendeteksi penyimpangan konfigurasi, izin yang berlebihan, paparan publik, dan aturan jaringan yang tidak aman di seluruh lingkungan multicloud.

Repositori yang aman dan perlindungan lingkungan pengembangan terintegrasi mengurangi risiko pada tahap paling awal. Perlindungan repositori memblokir rahasia yang terekspos dan dependensi yang rentan sebelum penggabungan. Ekstensi lingkungan pengembangan terintegrasi (IDE) mengungkapkan umpan balik keamanan secara real-time saat pengembang menulis kode, sehingga mengurangi upaya perbaikan di tahap selanjutnya.

Di era AI, DevSecOps juga menangani keamanan rantai pasokan model dan himpunan data. Tim memvalidasi sumber data pelatihan, memverifikasi integritas model melalui penandatanganan artefak, dan memantau adanya upaya manipulasi dalam registri model. Tata kelola juga mencakup kode yang dihasilkan AI, dengan tinjauan otomatis dan pemeriksaan kebijakan yang memastikan output yang dihasilkan memenuhi standar keamanan.

Alat dan platform DevSecOps yang umum

Alat DevSecOps menyediakan automasi, visibilitas, dan kontrol yang diperlukan untuk mengamankan pengembangan modern dalam skala besar. Solusi ini mengurangi peninjauan manual, menegakkan kebijakan secara konsisten, dan memberi tim wawasan bersama tentang risiko di seluruh alur dan lingkungan cloud.

Alat manajemen kode dan dependensi yang aman seperti GitHub Advanced Security dan SonarQube mengidentifikasi kerentanan dan rahasia yang terekspos sebelum kode mencapai tahap produksi. Mereka melakukan pengujian keamanan aplikasi statis, analisis komposisi perangkat lunak, dan deteksi rahasia langsung di dalam repositori dan permintaan tarik, membantu pengembang mengatasi risiko sejak dini.

Integritas alur dan integrasi CI/CD. Kemampuan dalam platform, seperti GitHub Actions, Jenkins, dan plugin keamanan Azure DevOps, menyematkan kontrol keamanan langsung ke dalam alur kerja build dan rilis. Integrasi ini menegakkan pemeriksaan kebijakan, memvalidasi artefak, dan menjalankan pengujian otomatis sepanjang alur untuk mencegah kode berisiko tinggi melanjut ke tahap berikutnya.

Solusi perlindungan beban kerja kontainer dan cloud (CWPP) , termasuk Microsoft Defender untuk Kontainer, Aqua, dan Prisma Cloud, memindai citra kontainer dan memantau lingkungan runtime. Solusi ini membantu mendeteksi salah konfigurasi, gambar yang rentan, dan ancaman aktif yang memengaruhi aplikasi terkontainerisasi.

Alat manajemen postur cloud dan pemantauan kepatuhan, seperti Microsoft Defender untuk Cloud dan Azure Policy, terus-menerus menilai infrastruktur terhadap standar keamanan yang telah ditentukan. Mereka mengidentifikasi penyimpangan konfigurasi, izin yang berlebihan, dan celah kepatuhan di seluruh lingkungan multicloud.

Platform manajemen rahasia, termasuk Azure Key Vault dan HashiCorp Vault, memusatkan penyimpanan dan rotasi kredensial serta kunci kriptografi, sehingga mengurangi risiko terungkapnya rahasia dalam kode sumber atau alur kerja. Program DevSecOps yang efektif memprioritaskan alat yang terintegrasi di seluruh repositori, alur, dan platform cloud. Interoperabilitas mendukung alur kerja bersama, mengurangi silo, dan membantu tim mempertahankan kontrol keamanan yang konsisten dari pengembangan hingga produksi.

Praktik terbaik DevSecOps untuk pengembangan modern yang aman

Program DevSecOps yang efektif menggabungkan automasi, tata kelola, dan budaya untuk memperkuat ketahanan sambil mempertahankan kecepatan pengiriman di lingkungan multicloud yang kompleks.

Adopsi pola pikir shift-left
Integrasikan persyaratan keamanan selama perencanaan dan desain. Pindai kode, dependensi, dan templat infrastruktur saat dibuat—bukan setelah penyebaran. Deteksi dini mengurangi biaya remediasi dan mencegah kerentanan melanjut ke dalam alur.

Otomatiskan pengujian dan penegakan kepatuhan
Sematkan pengujian keamanan, validasi kebijakan, dan verifikasi artefak langsung ke dalam alur kerja CI/CD. Pendekatan kebijakan sebagai kode memastikan penegakan standar internal dan peraturan eksternal yang konsisten tanpa hambatan peninjauan manual.

Terapkan kontrol akses hak istimewa terkecil
Batasi izin di seluruh repositori, alur, akun layanan, dan beban kerja cloud. Terapkan kontrol akses berbasis peran, akses just-in-time, dan penyimpanan rahasia terkelola untuk mengurangi risiko berbasis identitas.

Prioritaskan penggunaan intelijen ancaman dan validasi berkelanjutan
Gunakan kecerdasan ancaman cyber untuk memperkuat manajemen kerentanan dengan sinyal eksploitasi aktif. Terapkan prinsip alur Zero Trust dengan memverifikasi setiap artefak build, identitas, dan dependensi. Validasi konfigurasi dan kontrol secara berkelanjutan saat lingkungan berkembang.

Pantau terus-menerus dan respons dengan cepat
Terbitkan pemantauan dan pemberitahuan waktu proses untuk mendeteksi ancaman, penyimpangan konfigurasi, dan perilaku abnormal di lingkungan produksi. Siklus umpan balik otomatis memastikan bahwa wawasan risiko mengalir kembali ke tim pengembangan.

Bangun akuntabilitas bersama
Dorong kolaborasi di seluruh pengembangan, keamanan, dan operasi. Keamanan menjadi bagian dari alur kerja sehari-hari, didukung oleh ekspektasi pimpinan dan sasaran yang terukur.

Tantangan umum dalam adopsi DevSecOps

Mengadopsi model DevSecOps menantang secara organisasi maupun teknis. Pimpinan harus menyeimbangkan kecepatan, manajemen risiko, dan efisiensi operasional tanpa menimbulkan gesekan antar tim.

Menyeimbangkan pengiriman cepat dengan standar keamanan yang kuat tetap menjadi salah satu tantangan paling umum. Tim pengembangan dinilai berdasarkan kecepatan rilis, sementara tim keamanan berfokus pada pengurangan risiko. Tanpa sasaran bersama dan guardrail otomatis, prioritas ini dapat saling bertentangan.

Penyebaran alat yang berlebihan dan kompleksitas integrasi juga menimbulkan gesekan. Banyak organisasi mengumpulkan alat pemindaian, pemantauan, dan kepatuhan yang berjalan terpisah. Alat yang terfragmentasi meningkatkan kelelahan akibat pemberitahuan, mempersulit pelaporan, dan menyulitkan penegakan kebijakan yang konsisten di seluruh alur dan platform cloud.

Kesenjangan keterampilan antara tim pengembangan dan keamanan dapat memperlambat kemajuan. Keterampilan rekayasa cloud tidak selalu mencakup pengodean aman atau keahlian tata kelola identitas. Pada saat yang sama, tim keamanan mungkin kurang memahami secara mendalam alur kerja CI/CD dan infrastruktur sebagai kode.

Mempertahankan kepatuhan di seluruh lingkungan hybrid dan multicloud menambah tingkat kesulitan lainnya. Penyimpangan kebijakan, konfigurasi yang tidak konsisten, dan tim yang terdesentralisasi membuat pembuktian kesiapan audit semakin sulit. Organisasi juga menghadapi tantangan baru. Pembuatan kode yang dipercepat AI meningkatkan volume output dan potensi eksposur kerentanan. Penyebaran rahasia di seluruh repositori dan skrip otomasi meningkatkan risiko identitas. Penyimpangan kebijakan multicloud melemahkan kontrol tata kelola. Menentukan metrik yang bermakna—seperti waktu rata-rata untuk perbaikan, tren penuaan kerentanan, dan pengurangan paparan—membutuhkan penyelarasan lintas tim.

DevSecOps dengan Microsoft Security

Atasi tantangan umum dalam penerapan DevSecOps dengan mengonsolidasikan manajemen postur, tata kelola identitas, intelijen ancaman, dan kontrol pengembangan yang aman di dalam Microsoft Security.

Penyebaran alat yang berlebihan dan visibilitas yang terfragmentasi sering memperlambat kematangan DevSecOps. Microsoft Defender untuk Cloud menyatukan manajemen postur keamanan cloud, keamanan DevOps, dan perlindungan runtime dalam satu CNAPP. Hal ini mengurangi kompleksitas integrasi dan menyediakan tampilan risiko terpusat di seluruh kode, infrastruktur, kontainer, dan beban kerja multicloud.

Menyeimbangkan kecepatan pengiriman dengan standar keamanan yang kuat memerlukan guardrail otomatis. Kemampuan keamanan DevOps terintegrasi meluas ke repositori dan alur CI/CD, membantu tim mendeteksi kerentanan, rahasia yang terekspos, dan konfigurasi tidak aman sebelum penyebaran. Penegakan kebijakan dan pemeriksaan kepatuhan berjalan terus-menerus, mengurangi hambatan peninjauan manual sambil mempertahankan keselarasan tata kelola.

Risiko identitas di seluruh alur dan akun layanan dapat menjadi tantangan yang persisten. Solusi Microsoft Security menerapkan kontrol yang sadar identitas, akses hak istimewa minimum, dan pemantauan izin berkelanjutan di seluruh sumber daya cloud. Pendekatan ini mendukung prinsip Zero Trust dalam alur kerja pengembangan dan membatasi peluang pergerakan lateral.

Risiko yang muncul—seperti pembuatan kode yang dipercepat AI, integritas rantai pasokan model, dan penyimpangan kebijakan multicloud—memerlukan pengawasan yang konsisten dan pendekatan yang fleksibel. Manajemen kebijakan terpusat dan prioritas yang didukung kecerdasan membantu tim keamanan fokus pada eksposur yang paling berdampak sekaligus memperkuat keamanan multicloud di seluruh lingkungan Azure, Amazon Web Services, dan Google Cloud Platform.

DevSecOps menjadi lebih berkelanjutan saat postur, identitas, perlindungan ancaman, dan kepatuhan berjalan sebagai sistem yang terhubung, bukan alat yang terpisah. Microsoft Security menyediakan dasar terintegrasi, menyelaraskan kecepatan rekayasa dengan manajemen risiko tingkat perusahaan.
Sumber daya

Jelajahi selengkapnya tentang DevSecOps

  1.
Orang yang bekerja di depan komputer dengan rekan kerja di latar belakang.
Produk

Dapatkan visibilitas penuh dan kurangi risiko dengan Microsoft Defender untuk Cloud

Pahami postur keamanan cloud Anda, prioritaskan risiko, dan terapkan kebijakan di seluruh lingkungan.
Pelajari selengkapnya
Rekan kerja di kantor memeriksa informasi di tablet dan ponsel.
Solusi

Amankan dan kelola lingkungan multicloud dengan keamanan cloud terintegrasi

Jelajahi solusi keamanan cloud yang menyatukan postur, perlindungan beban kerja, identitas, dan kepatuhan.
Pelajari selengkapnya
Orang-orang berkolaborasi di dalam ruangan sambil meninjau konten di tablet.
Blog

Lihat bagaimana konteks runtime dan AI mempercepat alur kerja pengembangan yang aman

Pelajari cara mengintegrasikan wawasan runtime dan perbaikan AI menautkan konteks keamanan kembali ke alur kerja pengembang.
Baca blog
Kembali ke Bagian sumber daya

Tanya jawab umum

  • DevSecOps adalah singkatan dari pengembangan, keamanan, dan operasi. Ini adalah pendekatan yang mengintegrasikan keamanan ke setiap fase siklus hidup pengembangan perangkat lunak. Alih-alih memperlakukan keamanan sebagai peninjauan akhir, DevSecOps menyematkan pengujian otomatis, penegakan kebijakan, dan pemeriksaan kepatuhan ke dalam perencanaan, pengodean, pembuatan, penyebaran, dan pemantauan.
  • DevOps berfokus pada peningkatan kolaborasi antara pengembangan dan operasi untuk mempercepat pengiriman perangkat lunak. DevSecOps merancang model tersebut dengan menambahkan kontrol keamanan dan kepatuhan berkelanjutan ke alur kerja yang sama. Pendekatan ini memastikan pengiriman yang cepat tidak menimbulkan risiko yang tidak dikelola di seluruh kode, alur, dan lingkungan cloud.
  • DevSecOps adalah bagian dari strategi keamanan cyber yang lebih luas. Pendekatan ini secara khusus menerapkan praktik keamanan pada pengembangan perangkat lunak dan operasi cloud. Sementara keamanan cyber mencakup domain seperti keamanan jaringan dan perlindungan titik akhir, DevSecOps berfokus pada pengamanan kode, alur kerja, infrastruktur, dan beban kerja di seluruh siklus hidup pengembangan.
  • Kerangka kerja DevSecOps mengintegrasikan kontrol keamanan ke setiap tahap siklus hidup pengembangan perangkat lunak. Ini mencakup pengujian shift-left, pemindaian kerentanan otomatis, kebijakan sebagai kode, tata kelola identitas, pemantauan kepatuhan berkelanjutan, dan perlindungan saat runtime. Kerangka kerja ini menyelaraskan kecepatan pengembangan dengan pengelolaan risiko yang konsisten dan kesiapan audit.
  • DevSecOps bekerja dengan menyematkan pengujian keamanan otomatis dan penegakan kebijakan ke dalam alur integrasi berkelanjutan dan pengiriman berkelanjutan (CI/CD). Tim memindai kode dan dependensi selama pengembangan, memvalidasi infrastruktur sebelum penerapan, menerapkan akses dengan hak istimewa minimal, dan terus memantau beban kerja di lingkungan produksi untuk mendeteksi ancaman dan kesalahan konfigurasi.

Ikuti Microsoft Security

Copilot untuk organisasi Copilot untuk penggunaan pribadi Microsoft 365 Microsoft 365 Family Microsoft 365 Personal Windows 11 apps Profil akun Pusat Unduh Pengembalian Pelacakan pesanan Microsoft Education Perangkat untuk pendidikan Microsoft Teams untuk Pendidikan Microsoft 365 Education Office Education Pelatihan dan pengembangan pengajar Diskon untuk pelajar dan orang tua Azure untuk pelajar
Microsoft AI Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft Advertising Microsoft 365 Copilot Microsoft Teams Pengembang Microsoft Microsoft Learn Dukungan aplikasi marketplace AI Microsoft Tech Community Microsoft Marketplace Microsoft Power Platform Perusahaan perangkat lunak Visual Studio Karier Tentang Microsoft Berita perusahaan Privasi di Microsoft Investor
Indonesia (Indonesia) Privasi Kesehatan Konsumen Hubungi Microsoft Privasi Kelola cookie Persyaratan penggunaan Merek dagang Mengenai iklan kami