Apa itu security testing?

Question

Accepted Answer

**Security testing** mengevaluasi software untuk **kerentanan dan kelemahan keamanan** — memverifikasi bahwa software melindungi data dan tahan terhadap serangan. Ini mencakup berbagai teknik (SAST, DAST, penetration testing, dependency scanning) dan sangat penting karena cacat keamanan dapat memiliki konsekuensi yang parah.

## Apa yang security testing periksa

```text
Security testing finds VULNERABILITIES and verifies defenses:
  → common flaws: injection (SQL, etc.), XSS, broken authentication/authorization,
    sensitive data exposure, misconfigurations, vulnerable dependencies (OWASP Top 10)
  → does the app properly authenticate, authorize, validate input, encrypt data, etc.?
→ ensures the software resists attacks and protects data/users.
```

## Jenis/teknik security testing

```text
SAST (Static) → analyze SOURCE CODE for vulnerabilities (without running it) — in CI
DAST (Dynamic) → test the RUNNING app for vulnerabilities (attack it from outside)
DEPENDENCY scanning (SCA) → find known vulnerabilities in libraries (Snyk, Dependabot)
PENETRATION testing → ethical hackers actively try to BREAK IN (find real exploitable flaws)
SECRET scanning → detect committed secrets; CONFIGURATION/IaC scanning
```

## Mengintegrasikan keamanan (shift left)

```text
✓ SHIFT SECURITY LEFT → test for vulnerabilities EARLY (in development/CI), not just at the end
✓ Automate SAST/dependency scanning in CI/CD (catch issues per change)
✓ Regular pen testing for critical apps; threat modeling; security code review
✓ WHY: security breaches are SEVERE (data leaks, financial/legal/reputation damage) →
  finding vulnerabilities before attackers do is critical
```

## Mengapa ini penting

Memahami security testing adalah pengetahuan level senior yang berharga karena **kerentanan keamanan dapat memiliki konsekuensi yang parah** (pelanggaran, kebocoran data, kerugian finansial dan reputasi), jadi pengujian terhadapnya sangat penting, menjadikan ini pengetahuan yang penting.

Security testing mengevaluasi software untuk **kerentanan** (injection, XSS, broken authentication/authorization, data exposure, vulnerable dependencies — jenis-jenis cacat OWASP Top 10) dan memverifikasi pertahanan software tersebut — memastikan bahwa software tahan terhadap serangan dan melindungi data dan pengguna, sebuah kualitas yang sangat penting mengingat betapa merusaknya kegagalan keamanan.

Memahami **jenis dan teknik** adalah kunci: **SAST** (analisis statis kode sumber untuk kerentanan, dapat dijalankan di CI), **DAST** (pengujian dinamis aplikasi yang sedang berjalan dengan menyerangnya), **dependency scanning/SCA** (menemukan kerentanan yang diketahui dalam library — semakin penting mengingat risiko supply-chain), **penetration testing** (hacker etis yang secara aktif mencoba untuk masuk dan menemukan cacat yang benar-benar dapat dieksploitasi), dan secret/configuration scanning — masing-masing mengatasi aspek berbeda dari keamanan.

Memahami **mengintegrasikan keamanan (shift left)** — menguji kerentanan sejak dini dalam pengembangan dan CI (bukan hanya di akhir), mengotomatisasi SAST dan dependency scanning di CI/CD, melakukan penetration testing secara berkala untuk aplikasi kritis, dan alasan di baliknya (menemukan kerentanan sebelum penyerang melakukannya, karena pelanggaran sangat parah) — mencerminkan pendekatan modern untuk membangun security testing ke dalam proses pengembangan.

Keamanan adalah dimensi kualitas yang penting, sering kali kurang ditekankan, dan memahami cara menguji kerentanan semakin penting seiring dengan meningkatnya ancaman keamanan.

Karena kerentanan keamanan memiliki konsekuensi yang parah dan security testing (SAST, DAST, dependency scanning, penetration testing, terintegrasi sejak dini melalui shift-left) adalah cara kerentanan ditemukan sebelum penyerang mengeksploitasinya, dan karena memahami teknik dan pendekatan penting untuk membangun software yang aman, memahami security testing adalah pengetahuan level senior yang berharga — penting untuk mengatasi dimensi keamanan yang kritis dari kualitas, menemukan kerentanan sebelum dieksploitasi, dan mencerminkan kesadaran keamanan yang diharapkan untuk peran senior dalam lingkungan ancaman keamanan yang signifikan dan terus berkembang.