Penerapan Automated Security Testing Menggunakan Owasp Zap Pada Continuous Integration/Continuous Deployment (CI/CD)
DOI:
https://doi.org/10.30812/corisindo.v1.5558Keywords:
AST, CICD, DAST, OWASP ZAP, SIMPTAbstract
Ketersediaan teknologi informasi sangat membantu pada proses pemberian layanan yang cepat dan tepat. Namun dibalik kemudahan dan kecepatan pelayanan yang ditawarkan terdapat tantangan dan kendala dari segi isu – isu terkait dengan tranksasi data dan informasi yang ada dalam sistem itu sendiri, keamanan menjadi salah satu isu yang kerap kali muncul dan menjadi tantangan tersendiri dalam pengembangan teknologi dan sistem. Berdasarkan kajian yang penulis lakukan dapat disimpulkan bahwa analisis dan uji keamanan pada aliran CICD perlu dilakukan secara konsisten untuk memastikan bahwa sistem yang akan digunakan benar – benar telah siap dari segi keamanannnya. Berbagai metode dan tools ditawarkan untuk memudahkan proses pengujian keamanan pada sistem. Pada penelitian ini, penulis akan mengangkat metode Automated Security Testing (AST) sebagai metode pengujian sistem keamanan sistem dengan menggunakan alat dukung Dynamic Automatic Security Test (DAST) dengan alat bantu OWASP ZAP. Penelitian ini bertujuan untuk mengetahui bagaimana integrasi dan penerapan OWASP ZAP dalam aliran CI/CD serta mengetahui sejauhmana cakupan pengujian keamanan yang dilakukan oleh OWASP ZAP terhadap sistem yang diuji. Proses pengujian penerapan OWASP ZAP ini akan dilakukan pada Sistem keuangan yang merupakan bagian dari Sistem Informasi Perguruan Tinggi (SIMPT) yang dikembangkan oleh cv.xyz. Penelitian ini diharapkan dapat memberikan solusi yang baik kepada perusahaan mengenai bagaimana proses penerapan AST pada aliran CICD sehingga masalah yang dihadapi dapat terselesaikan dengan baik. Selain itu melalui penelitian ini penulis berharap bisa mendapatkan informasi terkait kendala pada penerapan metode AST dengan menggunakan alat dukung DAST dengan tools OWASP ZAP. Berdasarkan analisis yang telah dilakukan dapat ditarik kesimpulan bahwa proses integrasi OWASP ZAP pada aliran CICD dapat dilakukan namun perlu adanya perbaikan pada proses eksekusi OWASP ZAP. Perlu dilakukan perbaikan dan koreksi kembali terkait proses running dan listening pada port prooxy yang digunakan
References
[1] S. Sukma Ayu, M. Irwan, and P. Nasution, “Analisis Kebocoran Data Privacy Pada E-Commerce Tokopedia,” vol. 2, no. 3, 2023, [Online]. Available: http://jurnal.jomparnd.com/index.php/jk
[2] T. Rangnau, R. V. Buijtenen, F. Fransen, and F. Turkmen, “Continuous Security Testing: A Case Study on Integrating Dynamic Security Testing Tools in CI/CD Pipelines,” in Proceedings - 2020 IEEE 24th International Enterprise Distributed Object Computing Conference, EDOC 2020, Institute of Electrical and Electronics Engineers Inc., Oct. 2020, pp. 145–154. doi: 10.1109/EDOC49727.2020.00026.
[3] Meinahen B. Bansoma, “Pedoman, Tantangan, Dan Manfaat Implementasi Devops Untuk Pengembangan Dan Operasi Perangkat Lunak: Tinjauan Literatur Sistematis,” TIMOR CERDAS – J. Teknol. Informasi, Manaj. Komput. dan Rekayasa Sist. Cerdas, vol. 2, no. 1, 2024.
[4] Papagiannaki, K., Taft, N., Zhang, Z. L., & Diot, C. (2021). Long-term forecasting of internet backbone traffic. IEEE Transactions on Neural Networks and Learning Systems, 32(3), 1110-1123.
[5] Mockapetris, P. (2021). Domain names - concepts and facilities. RFC 1034. Internet Engineering Task Force.
[6] Metcalfe, R. M., & Boggs, D. R. (2022). Ethernet: Distributed packet switching for local computer networks. Communications of the ACM, 65(7), 63-69.
[7] McKeown, N., Anderson, T., Balakrishnan, H., Parulkar, G., Peterson, L., Rexford, J., Shenker, S., & Turner, J. (2021). OpenFlow: Enabling innovation in campus networks. ACM SIGCOMM Computer Communication Review, 51(2), 69-74.
[8] Galih Sundayana, M., & Lucia Kharisma, I. (2023). Rancang Bangun Layanan Private cloud Berbasis Infrastructure as a Service Menggunakan OpenStack dengan Metode Network Development Life Cycle(NDLC). Media Online), 4(1), 252–262. https://doi.org/10.30865/klik.v4i1.1001
[9] Hinden, R., & Deering, S. (2024). IP version 6 addressing architecture. RFC 4291bis. Internet Engineering Task Force.
[10] Hoffman, P., & McManus, P. (2023). DNS queries over HTTPS (DoH). RFC 8484. Internet Engineering Task Force.
[11] IBM Corporation. (2024). AI for network operations: Transforming IT infrastructure management. https://www.ibm.com/cloud/learn/ai-for-network-operations
[12] IEEE. (2023). IEEE 802.11 wireless LAN medium access control (MAC) and physical layer (PHY) specifications. IEEE Standard 802.11-2020
[13] Putu Hariyadi, I., Azhar, R., Santoso, H., Marzuki, K., & Made Yadi Dharma. (n.d.). IMPLEMENTASI CONTINUOUS INTEGRATION/CONTINUOUS DEPLOYMENT UNTUK MENGOTOMATISASI MANAJEMEN. In Desember (Vol. 4, Issue 2).
[14] Cisco Systems. (2023). Intent-based networking: The next evolution of networking. https://www.cisco.com/c/en/us/solutions/intent-based-networking.html
[15] Cisco Systems. (2024). Annual cybersecurity report 2024. https://www.cisco.com/c/en/us/products/security/security-reports.html
