Cara Handle Security Threat Pada Microservice — Part 2

Security Pattern — Scanning Dependencies pada Microservice

Pada penjelasan sebelumnya yang berjudul Cara Handle Security Threat Pada Microservice — Part 1 kita telah membahas sejumlah security pattern untuk microservice arsitektur. Pada artikel tersebut juga telah dibahas bagian pertama yaitu secure by design.

Paka artikel kali ini kita akan menjelaskan security pattern yang lainnya yaitu Scan Library Dependencies dari berbagai vulnerability. Library yang digunakan pada pembuatan suatu software hampir mencapai sekitar 70% sampai 80% dari total seluruh code yang ada. Dengan demikian, tingkat keamanan software yang kita buat akan bergantung banyak dari tingkat security dari library yang digunakan.

Pada kenyataannya selain library langsung yang kita gunakan terdapat juga transitive dependencies dimana satu dependensi tergantung pada dependensi lainnya. Dengan demikian, tingkat keamanan juga semakin rentan berbanding lurus dengan jumlah library yang digunakan.

Salah satu cara untuk mengetahui tingkat keamanan library ini adalah kita dengan melakukan pengecekan terhadap vulnerability yang mungkin ada. Kita harus juga melakukan scan atau pengecekan ini pada semua level dari pipeline kita. Mulai dari kode utama kita, release versi, dan setiap line code yang baru.

Survei Snyk: 25% project tidak melaporkan masalah keamanan. Mayoritas hanya menambahkan catatan rilis; Hanya 10% melaporkan CVE (Common vulnerability exposures)

Coba Anda simak penjelasan dari The (Application) Patching Manifesto “ oleh Jeremy Long. Sebagai dasar dari penjelas kali ini.

Jika Anda adalah pengguna GitHub, Anda dapat menggunakan dependabot untuk menyediakan pembaruan otomatis melalui pull command. GitHub juga menyediakan peringatan keamanan yang dapat Anda aktifkan di repositori Anda.

Contoh penerapn scan libray dari vurnerability pada sorce code kita

Selain tool yang disedian oleh github kita juga dapat menggunakan beberapa tool berbayar seperti Snyk dan JFrog Xray.

https://snyk.io/

https://jfrog.com/xray/

Kesimpulan

Selalu gunakan scan library setiap project Anda untuk membantu meningkatkan tingkat keamanan dari software yang dibuat. Adapun, untuk code utama Anda dapat digunakan tool semisal Sonar Cube yang memiliki cara untuk mengecek tingkat vulnerability dari code kita secara langsung.

References

1. https://techbeacon.com/app-dev-testing/13-tools-checking-security-risk-open-source-dependencies
2. The (Application) Patching Manifesto
3. https://dzone.com/articles/dependencies-its-not-just-your-code-you-need-to-se
4. https://medium.com/the-legend/cara-handle-security-threat-pada-microservice-part-1-945b8d0ce8af

Sponsor

Membutuhkan kaos dengan tema pemrograman :

Kafka T-shirt

Elastic T-shirt

Dapat menghubungi The Legend.