1. Latar Belakang dan Tujuan Penelitian
Dalam menghadapi meningkatnya serangan siber dan eksploitasi kerentanan perangkat lunak, kebutuhan akan metodologi pengembangan perangkat lunak yang aman (Secure Software Development Methodologies atau SSDMs) menjadi semakin mendesak. Artikel "Secure Software Development Methodologies: A Multivocal Literature Review" oleh Kudriavtseva dan Gadyatskaya (2023) menyajikan tinjauan mendalam terhadap 28 SSDMs yang berasal dari industri, pemerintahan, dan akademik, dengan fokus pada integrasi praktik keamanan dalam seluruh tahapan Software Development Lifecycle (SDLC).
Tujuan utama penelitian ini adalah untuk:
- Mengklasifikasikan praktik keamanan teknis dan non-teknis yang diadopsi oleh berbagai SSDMs.
- Menilai efektivitas SSDMs melalui studi validasi.
- Mengidentifikasi celah riset yang masih terbuka dalam komunitas ilmiah.
2. Metodologi Penelitian
Penelitian ini menggunakan pendekatan multivocal literature review (MLR) yang menggabungkan literatur ilmiah dan grey literature (seperti white papers, standar industri, dokumen pemerintah). Pencarian literatur dilakukan melalui Google Scholar dan pencarian web menggunakan kata kunci seperti "secure software development", "DevSecOps", dan "application security".
Inklusi difokuskan pada metodologi yang memasukkan praktik keamanan dalam setiap tahap SDLC dan mencakup pendekatan umum, bukan yang terbatas pada teknologi spesifik (misalnya IoT atau mobile). Total 28 metodologi yang memenuhi kriteria ditinjau, mencakup periode 2004 hingga 2022.
3. Klasifikasi Praktik Keamanan
Penulis mengelompokkan praktik keamanan ke dalam tiga kategori:
- Organizational-wide practices: seperti pelatihan keamanan, kebijakan organisasi, dan pengelolaan risiko.
- Project-wide practices: praktik yang berlaku lintas tahapan SDLC, seperti penilaian ancaman dan dokumentasi kebijakan.
- Stage-specific practices: praktik yang dikaitkan dengan tahap SDLC tertentu, seperti threat modeling di tahap desain, SAST/DAST di tahap implementasi, dan patch management di tahap pemeliharaan.
Metodologi-metodologi ini juga dianalisis dalam konteks model SDLC klasik (Waterfall) maupun Agile, termasuk versi modifikasi seperti Microsoft SDL-Agile dan pendekatan DevSecOps.
4. Analisis Komparatif SSDMs
Beberapa SSDMs terkemuka yang dibahas meliputi:
- Microsoft SDL: Menekankan pelatihan, penggunaan alat yang disetujui, dan integrasi praktik keamanan dari tahap perencanaan hingga pemeliharaan.
- OWASP SAMM dan BSIMM: Berbasis model kematangan, mengukur kinerja dan kematangan keamanan di organisasi.
- SAFECode dan Google: Menawarkan kerangka kerja dengan panduan teknis dan non-teknis termasuk budaya keamanan.
- Framework Pemerintah (NIST 800-218, Grip on SSD): Mengedepankan kesiapan organisasi dalam aspek hukum, kebijakan, dan proses pendukung keamanan perangkat lunak.
Penulis menyusun tabel yang membandingkan keberadaan dan cakupan setiap praktik keamanan di seluruh metodologi tersebut berdasarkan tahapan SDLC.
5. Temuan Utama dan Kesenjangan Penelitian
a. Temuan Utama:
- Hampir semua SSDMs mencakup praktik seperti threat modeling, code review, dan pengujian keamanan.
- Praktik non-teknis seperti pelatihan, manajemen konfigurasi, dan budaya keamanan mendapat perhatian yang semakin besar.
- Hanya sedikit metodologi yang menyediakan data validasi empiris yang kuat tentang efektivitasnya.
b. Kesenjangan Penelitian:
- Kurangnya standar universal untuk mengevaluasi efektivitas SSDMs.
- Minimnya metodologi yang mendukung otomatisasi keamanan dalam konteks DevOps.
- Kurangnya perhatian pada keamanan dalam tahap disposal perangkat lunak.
6. Kontribusi dan Implikasi
