Apakah Secure Development Lifecycle (SDLC)?

Question

Accepted Answer

**Secure Development Lifecycle (SDLC)** mengintegrasikan keselamatan ke dalam setiap fasa pembangunan perisian — daripada keperluan melalui reka bentuk, pengekodan, pengujian, penyebaran, dan penyelenggaraan — dan bukannya menganggapnya sebagai renungan kemudian. Ia menjelmakan "shift left" dan "security by design."

## Keselamatan sepanjang kitaran hayat

```text
Integrate security into EVERY phase (not just at the end):
  REQUIREMENTS → define security requirements; consider compliance
  DESIGN → THREAT MODELING; secure architecture; security review of the design
  DEVELOPMENT → secure coding practices; code review; SAST in the IDE/CI
  TESTING → security testing (SAST, DAST, dependency scanning, pen testing)
  DEPLOYMENT → secure configuration; secrets management; hardening
  MAINTENANCE → patching, monitoring, incident response, ongoing scanning
→ "shift left" — address security EARLY (cheaper than fixing after a breach).
```

## Mengapa shift left

```text
The cost to fix a security flaw GROWS dramatically the later it's found:
  caught in design/code (cheap) << found in testing << exploited in PRODUCTION
  (very expensive: breach, damage, emergency response)
→ Building security in early (vs bolting it on / fixing breaches) is far more effective
  and cheaper.
```

## Amalan yang menyokong SDLC

```text
✓ Security TRAINING for developers; secure coding standards
✓ Automated security in CI/CD (SAST, dependency scanning, secret scanning) → catch per change
✓ Threat modeling and security review at design; security testing before release
✓ Security CHAMPIONS in teams; security as part of "definition of done"
✓ Continuous monitoring, patching, and improvement in production
→ Make security a continuous, integrated part of how software is built (DevSecOps).
```

## Mengapa ia penting

Memahami Secure Development Lifecycle adalah pengetahuan peringkat senior yang bernilai kerana ia mewakili **pendekatan matang dan berkesan untuk mengintegrasikan keselamatan sepanjang pembangunan** dan bukannya sebagai renungan kemudian, jadi ia penting untuk membina perisian yang selamat secara sistematik.

SDLC mengintegrasikan keselamatan ke dalam **setiap fasa** — keperluan (mentakrifkan keperluan keselamatan), reka bentuk (threat modeling, seni bina selamat), pembangunan (pengekodan selamat, SAST), pengujian (ujian keselamatan), penyebaran (konfigurasi selamat, pengukuhan), dan penyelenggaraan (penampalan, pemantauan, incident response) — menjelmakan **"security by design"** dan **"shift left."** Memahami integrasi menyeluruh ini ialah wawasan utama: keselamatan bukanlah satu fasa tunggal atau tambahan tetapi kebimbangan berterusan yang terjalin sepanjang keseluruhan kitaran hayat.

Memahami **mengapa shift left** penting — bahawa kos untuk membetulkan kelemahan keselamatan berkembang secara dramatik semakin lewat ia ditemui (murah dalam reka bentuk/kod, mahal apabila dieksploitasi dalam pengeluaran dengan pelanggaran dan respons kecemasan) — menyediakan rasional ekonomi dan keberkesanan yang meyakinkan untuk menangani keselamatan awal dan bukannya bertindak balas terhadap pelanggaran.

Memahami **amalan menyokong** — latihan dan piawaian keselamatan untuk pembangun, **keselamatan automatik dalam CI/CD** (SAST, pengimbasan dependency, pengimbasan rahsia menangkap isu setiap perubahan), threat modeling dan semakan keselamatan semasa reka bentuk, ujian keselamatan sebelum keluaran, security champions dan keselamatan dalam "definition of done," dan pemantauan serta penampalan pengeluaran yang berterusan — mencerminkan cara SDLC dilaksanakan dalam amalan (sering dipanggil DevSecOps).

Ini mewakili pendekatan matang terhadap keselamatan yang diterima pakai oleh organisasi yang berkesan.

Memandangkan membina perisian yang selamat dengan berkesan memerlukan pengintegrasian keselamatan sepanjang pembangunan (bukan sebagai renungan kemudian) dan pendekatan SDLC/shift-left jauh lebih berkesan dan murah daripada keselamatan reaktif, dan memandangkan memahaminya mencerminkan amalan keselamatan yang matang, memahami Secure Development Lifecycle adalah pengetahuan peringkat senior yang bernilai — pendekatan sistematik dan bersepadu untuk membina perisian yang selamat, menjelmakan security-by-design dan shift-left, dan mencerminkan kematangan keselamatan menyeluruh (DevSecOps) yang diharapkan untuk peranan senior yang membentuk cara pasukan membina perisian secara selamat sepanjang proses pembangunan.