1 
2Kerentanan yang ditemui semasa menulis kod memerlukan beberapa minit sahaja untuk diperbaiki oleh pembangun perisian. Kerentanan yang sama jika ditangkap di production memerlukan satu sprint penuh. Dan jika penyerang menemuinya terlebih dahulu, kosnya berjuta-juta. Inilah hujah teras di sebalik **shift-left security**  -  memindahkan pemeriksaan keselamatan seawal mungkin dalam kitaran hayat pembangunan.
3 
4DevSecOps mengambil idea ini dan mengubahnya menjadi amalan: keselamatan bukan fasa berasingan di penghujung tetapi proses berterusan yang dijalin ke setiap peringkat pembangunan, dari baris kod pertama hingga deployment production.
5 
6## Kos Keselamatan Lewat
7 
8Laporan Cost of a Data Breach IBM telah menunjukkan secara konsisten bahawa kos membaiki isu keselamatan meningkat secara eksponen semakin lewat ia ditangkap:
9 
10| Peringkat | Kos Pembaikan | Masa Pembaikan |
11|-------|------------|-------------|
12| **IDE / Local Dev** | Minit | Saat hingga minit |
13| **Code Review / PR** | Jam | Minit hingga jam |
14| **CI/CD Pipeline** | Hari | Jam hingga hari |
15| **Staging / QA** | Minggu | Hari |
16| **Production** | Bulan | Minggu hingga bulan |
17| **Post-breach** | Jutaan ($) | Bulan hingga tahun |
18 
19Kesimpulannya jelas: setiap peringkat yang anda pindahkan keselamatan lebih awal menjimatkan satu orde magnitud dalam kos dan masa.
20 
21## Pipeline DevSecOps
22 
23Pipeline DevSecOps yang matang mengintegrasikan pemeriksaan keselamatan di setiap peringkat:
24 
25```mermaid
26graph LR
27    IDE[IDE / Editor] --> PC[Pre-commit Hooks]
28    PC --> PR[Pull Request]
29    PR --> CI[CI Pipeline]
30    CI --> Build[Build / Package]
31    Build --> Deploy[Deploy]
32    Deploy --> Runtime[Runtime / Production]
33 
34    IDE -.- S1[SAST\nSecret Detection\nLinting]
35    PC -.- S2[Secrets Scan\nFormat Check]
36    PR -.- S3[Code Review\nDependency Audit]
37    CI -.- S4[SAST\nSCA\nContainer Scan\nSBOM]
38    Build -.- S5[Image Signing\nArtifact Verification]
39    Deploy -.- S6[Policy Enforcement\nAdmission Control]
40    Runtime -.- S7[DAST\nWAF\nMonitoring]
41```
42 
43Mari kita huraikan setiap peringkat dengan alat dan konfigurasi yang konkrit.
44 
45## Peringkat 1: Keselamatan di IDE
46 
47Gelung maklum balas terpantas. Tangkap kerentanan sebelum anda menyimpan fail.
48 
49### Alat yang Disyorkan
50 
51- **Semgrep**: analisis statik ringan dengan peraturan komuniti untuk kerentanan OWASP
52- **Snyk IDE Extension**: pengimbasan kerentanan dependency masa nyata
53- **GitLens + GitLeaks**: kesan secrets dalam editor anda
54- **ESLint Security Plugins**: `eslint-plugin-security` untuk Node.js, `eslint-plugin-no-unsanitized` untuk DOM XSS
55 
56### Contoh: Konfigurasi ESLint Security
57 
58```json
59{
60  "extends": ["eslint:recommended"],
61  "plugins": ["security", "no-unsanitized"],
62  "rules": {
63    "security/detect-object-injection": "warn",
64    "security/detect-non-literal-regexp": "warn",
65    "security/detect-unsafe-regex": "error",
66    "security/detect-buffer-noassert": "error",
67    "security/detect-eval-with-expression": "error",
68    "security/detect-no-csrf-before-method-override": "error",
69    "security/detect-possible-timing-attacks": "warn",
70    "no-unsanitized/method": "error",
71    "no-unsanitized/property": "error"
72  }
73}
74```
75 
76## Peringkat 2: Pre-commit Hooks
77 
78Barisan pertahanan kedua. Berjalan secara automatik sebelum setiap commit, menghalang kod berbahaya daripada memasuki repositori.
79 
80### Gitleaks: Tangkap Secrets Sebelum Sampai ke Git
81 
82Kesalahan keselamatan paling biasa dalam codebase ialah meng-commit secrets  -  API keys, database passwords, tokens. Sebaik sahaja secret masuk ke git history, ia amat sukar untuk dikeluarkan sepenuhnya (walaupun dengan force pushes, fork dan cache mungkin masih menyimpannya).
83 
84```yaml
85# .pre-commit-config.yaml
86repos:
87  - repo: https://github.com/gitleaks/gitleaks
88    rev: v8.21.0
89    hooks:
90      - id: gitleaks
91 
92  - repo: https://github.com/semgrep/semgrep
93    rev: v1.90.0
94    hooks:
95      - id: semgrep
96        args: ['--config', 'auto']
97```
98 
99Pasang dan aktifkan:
100 
101```bash
102pip install pre-commit
103pre-commit install
104```
105 
106Kini setiap `git commit` mengimbas secara automatik untuk secrets yang bocor dan kerentanan biasa. Jika sesuatu ditemui, commit akan disekat.
107 
108### Peraturan Gitleaks Tersuai
109 
110Anda boleh menambah corak tersuai untuk secrets organisasi anda:
111 
112```toml
113# .gitleaks.toml
114title = "Custom Gitleaks Config"
115 
116[[rules]]
117id = "internal-api-key"
118description = "Internal API key detected"
119regex = '''INTERNAL_KEY_[A-Za-z0-9]{32}'''
120tags = ["key", "internal"]
121```
122 
123## Peringkat 3: Keselamatan CI/CD Pipeline
124 
125Di sinilah kerja berat berlaku. Pipeline CI anda harus menjalankan pelbagai imbasan keselamatan pada setiap pull request.
126 
127### SAST (Static Application Security Testing)
128 
129Alat SAST menganalisis kod sumber tanpa melaksanakannya, mencari corak yang menunjukkan kerentanan.
130 
131```yaml
132# .github/workflows/security.yml
133name: Security Scan
134on:
135  pull_request:
136    branches: [main]
137 
138jobs:
139  sast:
140    name: Static Analysis
141    runs-on: ubuntu-latest
142    steps:
143      - uses: actions/checkout@v4
144 
145      - name: Run Semgrep
146        uses: semgrep/semgrep-action@v1
147        with:
148          config: >-
149            p/owasp-top-ten
150            p/typescript
151            p/nodejs
152            p/react
153          generateSarif: true
154 
155      - name: Upload SARIF
156        uses: github/codeql-action/upload-sarif@v3
157        with:
158          sarif_file: semgrep.sarif
159```
160 
161Set peraturan `p/owasp-top-ten` Semgrep menangkap kerentanan paling biasa: SQL injection, XSS, SSRF, path traversal, insecure deserialization, dan banyak lagi.
162 
163### SCA (Software Composition Analysis)
164 
165SCA mengimbas dependency anda untuk kerentanan yang diketahui. Ini amat kritikal  -  lebih 80% kod aplikasi moden datang dari dependency open-source.
166 
167```yaml
168  dependency-scan:
169    name: Dependency Audit
170    runs-on: ubuntu-latest
171    steps:
172      - uses: actions/checkout@v4
173 
174      - name: Run Snyk
175        uses: snyk/actions/node@master
176        env:
177          SNYK_TOKEN: ${{ secrets.SNYK_TOKEN }}
178        with:
179          args: --severity-threshold=high
180 
181      - name: npm audit
182        run: npm audit --audit-level=high
183```
184 
185### Container Security dengan Trivy
186 
187Jika anda membina Docker images, mengimbasnya untuk kerentanan adalah penting. **Trivy** ialah container scanner open-source paling popular.
188 
189```yaml
190  container-scan:
191    name: Container Security
192    runs-on: ubuntu-latest
193    steps:
194      - uses: actions/checkout@v4
195 
196      - name: Build image
197        run: docker build -t my-app:${{ github.sha }} .
198 
199      - name: Run Trivy
200        uses: aquasecurity/trivy-action@master
201        with:
202          image-ref: my-app:${{ github.sha }}
203          format: 'sarif'
204          output: 'trivy-results.sarif'
205          severity: 'CRITICAL,HIGH'
206          exit-code: '1'
207 
208      - name: Upload Trivy SARIF
209        uses: github/codeql-action/upload-sarif@v3
210        with:
211          sarif_file: trivy-results.sarif
212```
213 
214### Penjanaan SBOM
215 
216**Software Bill of Materials (SBOM)** ialah inventori lengkap setiap komponen dalam aplikasi anda. Semakin diperlukan oleh rangka kerja pematuhan dan peraturan kerajaan (US Executive Order on Cybersecurity mewajibkan SBOM untuk perisian persekutuan).
217 
218```yaml
219  sbom:
220    name: Generate SBOM
221    runs-on: ubuntu-latest
222    steps:
223      - uses: actions/checkout@v4
224 
225      - name: Generate SBOM with Syft
226        uses: anchore/sbom-action@v0
227        with:
228          format: spdx-json
229          output-file: sbom.spdx.json
230 
231      - name: Upload SBOM
232        uses: actions/upload-artifact@v4
233        with:
234          name: sbom
235          path: sbom.spdx.json
236```
237 
238## Peringkat 4: Docker Images yang Selamat
239 
240Docker image production harus mengikuti prinsip keistimewaan minimum. Inilah rupa Dockerfile yang diperkukuh:
241 
242```dockerfile
243# Build stage
244FROM node:22-alpine AS builder
245WORKDIR /app
246COPY package.json package-lock.json ./
247RUN npm ci
248COPY . .
249RUN npm run build
250 
251# Production stage
252FROM node:22-alpine AS runner
253WORKDIR /app
254 
255# Install dumb-init before dropping root
256RUN apk add --no-cache dumb-init
257 
258# Don't run as root
259RUN addgroup -S app && adduser -S app -G app
260 
261# Copy only what's needed
262COPY --from=builder --chown=app:app /app/dist ./dist
263COPY --from=builder --chown=app:app /app/node_modules ./node_modules
264COPY --from=builder --chown=app:app /app/package.json ./
265 
266# Drop to non-root user
267USER app
268ENTRYPOINT ["dumb-init", "--"]
269 
270# Health check
271HEALTHCHECK --interval=30s --timeout=3s --retries=3 \
272  CMD wget -qO- http://localhost:3000/health || exit 1
273 
274EXPOSE 3000
275CMD ["node", "dist/server.js"]
276```
277 
278Amalan utama:
279 
2801. **Gunakan multi-stage builds**: peringkat builder mempunyai dev dependencies; peringkat runner hanya mempunyai kod production
2812. **Jangan jalankan sebagai root**: cipta pengguna bukan root dan bertukar kepadanya
2823. **Gunakan Alpine images**: permukaan serangan lebih kecil (lebih sedikit pakej dipasang secara lalai)
2834. **Pin versi image**: `node:22-alpine` dan bukannya `node:latest` untuk mengelak serangan rantaian bekalan
2845. **Gunakan `npm ci`**: pemasangan deterministik daripada fail kunci, bukan `npm install`
285 
286## Peringkat 5: Pengurusan Secret
287 
288Hard-coded secrets ialah punca nombor satu pelanggaran dalam insiden yang disebabkan pembangun perisian.
289 
290### Apa yang TIDAK Boleh Dilakukan
291 
292```typescript
293// NEVER do this
294const API_KEY = "sk-1234567890abcdef";
295const DB_PASSWORD = "supersecret123";
296 
297const client = new Client({
298  connectionString: `postgres://admin:${DB_PASSWORD}@db.example.com/prod`
299});
300```
301 
302### Apa yang Perlu Dilakukan Sebaliknya
303 
304```typescript
305// Use environment variables
306const client = new Client({
307  connectionString: process.env.DATABASE_URL
308});
309 
310// Or use a secret manager
311import { SecretManagerServiceClient } from '@google-cloud/secret-manager';
312 
313const client = new SecretManagerServiceClient();
314const [version] = await client.accessSecretVersion({
315  name: 'projects/my-project/secrets/db-password/versions/latest',
316});
317const dbPassword = version.payload?.data?.toString();
318```
319 
320### Hierarki Pengurusan Secret
321 
322```mermaid
323graph TD
324    A[Secret Manager\nAWS Secrets Manager\nGCP Secret Manager\nHashiCorp Vault] --> B[Best: Rotated, audited, centralized]
325    C[Environment Variables\nInjected at deploy time] --> D[Good: Not in code, but static]
326    E[.env files\nWith .gitignore] --> F[Acceptable: Local development only]
327    G[Hard-coded in source] --> H[NEVER: Instant breach risk]
328 
329    style A fill:#d4edda
330    style C fill:#fff3cd
331    style E fill:#ffeeba
332    style G fill:#f8d7da
333```
334 
335## OWASP Top 10: Rujukan Pantas
336 
337Setiap pembangun perisian harus mengetahui OWASP Top 10. Versi ringkas:
338 
339| # | Kerentanan | Apa Itu | Pencegahan |
340|---|--------------|-----------|------------|
341| 1 | **Broken Access Control** | Pengguna mengakses sumber yang tidak sepatutnya | Tolak secara lalai, sahkan di sisi pelayan |
342| 2 | **Cryptographic Failures** | Penyulitan lemah, data teks biasa | Guna algoritma kuat (AES-256, bcrypt), TLS di mana-mana |
343| 3 | **Injection** | SQL, NoSQL, OS command injection | Parameterized queries, pengesahan input |
344| 4 | **Insecure Design** | Seni bina yang cacat | Threat modeling, corak reka bentuk selamat |
345| 5 | **Security Misconfiguration** | Kelayakan lalai, cloud buckets terbuka | Lalai yang diperkukuh, audit konfigurasi automatik |
346| 6 | **Vulnerable Components** | CVE yang diketahui dalam dependency | Imbasan SCA, kemas kini berkala |
347| 7 | **Auth Failures** | Kata laluan lemah, sesi rosak | MFA, pengehadan kadar, pengurusan sesi selamat |
348| 8 | **Data Integrity Failures** | Kemas kini tidak ditandatangani, CI/CD tidak dipercayai | Tandatangan kod, SBOM, integriti pipeline |
349| 9 | **Logging Failures** | Tiada jejak audit | Logging berstruktur, amaran pada anomali |
350| 10 | **SSRF** | Server-side request forgery | Senarai putih URL keluar, sahkan input |
351 
352## Aliran Kerja GitHub Actions Security Lengkap
353 
354Aliran kerja lengkap dan sedia production yang menggabungkan semua di atas:
355 
356```yaml
357# .github/workflows/security.yml
358name: Security Pipeline
359on:
360  pull_request:
361    branches: [main]
362  push:
363    branches: [main]
364 
365permissions:
366  contents: read
367  security-events: write
368 
369jobs:
370  secrets-scan:
371    name: Secret Detection
372    runs-on: ubuntu-latest
373    steps:
374      - uses: actions/checkout@v4
375        with:
376          fetch-depth: 0
377      - uses: gitleaks/gitleaks-action@v2
378        env:
379          GITHUB_TOKEN: ${{ secrets.GITHUB_TOKEN }}
380 
381  sast:
382    name: Static Analysis (SAST)
383    runs-on: ubuntu-latest
384    steps:
385      - uses: actions/checkout@v4
386      - uses: semgrep/semgrep-action@v1
387        with:
388          config: p/owasp-top-ten p/typescript p/nodejs
389 
390  dependency-audit:
391    name: Dependency Scan (SCA)
392    runs-on: ubuntu-latest
393    steps:
394      - uses: actions/checkout@v4
395      - uses: actions/setup-node@v4
396        with:
397          node-version: 22
398      - run: npm ci
399      - run: npm audit --audit-level=high
400      - uses: snyk/actions/node@master
401        env:
402          SNYK_TOKEN: ${{ secrets.SNYK_TOKEN }}
403        with:
404          args: --severity-threshold=high
405        continue-on-error: true
406 
407  container-scan:
408    name: Container Scan
409    runs-on: ubuntu-latest
410    needs: [sast, dependency-audit]
411    steps:
412      - uses: actions/checkout@v4
413      - run: docker build -t app:${{ github.sha }} .
414      - uses: aquasecurity/trivy-action@master
415        with:
416          image-ref: app:${{ github.sha }}
417          severity: CRITICAL,HIGH
418          exit-code: '1'
419 
420  sbom:
421    name: SBOM Generation
422    runs-on: ubuntu-latest
423    needs: [container-scan]
424    steps:
425      - uses: actions/checkout@v4
426      - uses: anchore/sbom-action@v0
427        with:
428          format: spdx-json
429          output-file: sbom.spdx.json
430```
431 
432```mermaid
433graph TD
434    PR[Pull Request] --> S1[Secret Detection]
435    PR --> S2[SAST - Semgrep]
436    PR --> S3[SCA - Snyk + npm audit]
437    S2 --> S4[Container Scan - Trivy]
438    S3 --> S4
439    S4 --> S5[SBOM Generation]
440    S5 --> Deploy[Deploy]
441 
442    S1 -.- F1[Block if secrets found]
443    S2 -.- F2[Block on critical vulns]
444    S3 -.- F3[Block on high severity]
445    S4 -.- F4[Block on critical CVEs]
446```
447 
448## Metrik untuk Dijejaki
449 
450Bagaimana anda tahu program DevSecOps anda berjaya? Jejaki metrik-metrik ini:
451 
452- **Mean time to remediate (MTTR)**: seberapa cepat anda membaiki kerentanan selepas pengesanan
453- **Vulnerability escape rate**: peratusan kerentanan yang sampai ke production
454- **False positive rate**: terlalu banyak positif palsu menyebabkan keletihan amaran dan amaran yang diabaikan
455- **Dependency freshness**: purata umur dependency anda (lebih lama = lebih berkemungkinan mempunyai CVE yang diketahui)
456- **SBOM coverage**: peratusan projek dengan SBOM yang terkini
457 
458## Bermula: Peta Jalan Praktikal
459 
460Jangan cuba melaksanakan semuanya sekaligus. Pendekatan berfasa berfungsi dengan lebih baik:
461 
462```mermaid
463flowchart TD
464    A[Week 1-2: Foundations] --> B[Week 3-4: CI/CD Integration]
465    B --> C[Month 2: Container Security]
466    C --> D[Month 3+: Advanced]
467 
468    A --> A1[Add Gitleaks pre-commit hooks]
469    A --> A2[Enable npm audit in CI]
470    A --> A3[Add .gitignore for .env files]
471 
472    B --> B1[Add Semgrep to GitHub Actions]
473    B --> B2[Add Snyk dependency scanning]
474    B --> B3[Set up SARIF upload to GitHub]
475 
476    C --> C1[Add Trivy container scanning]
477    C --> C2[Harden Dockerfiles]
478    C --> C3[Generate SBOMs]
479 
480    D --> D1[Secret manager integration]
481    D --> D2[Runtime protection - DAST]
482    D --> D3[Policy as code - OPA]
483```
484 
485## Kesimpulan
486 
487DevSecOps bukan tentang menambah lebih banyak alat ke pipeline anda  -  ia tentang menjadikan keselamatan sebahagian semula jadi daripada cara anda membina perisian. Matlamatnya bukan menyekat setiap PR dengan amaran keselamatan tetapi memberi maklum balas pantas kepada pembangun supaya mereka boleh membaiki isu semasa kod masih segar dalam ingatan mereka.
488 
489Mulakan dengan asas: pre-commit hooks untuk secrets, dependency scanning dalam CI, dan container scanning untuk Docker images. Kemudian buat iterasi berdasarkan apa yang diperlukan pasukan anda.
490 
491Keselamatan bukan ciri yang anda hantar sekali. Ia adalah amalan yang anda bina ke dalam setiap commit.
492 
493> **DevSecOps Starter Checklist:**
494>
495> - [x] Gitleaks pre-commit hooks dipasang
496> - [x] Fail .env dan secret dalam .gitignore
497> - [x] Semgrep SAST dalam CI pipeline
498> - [x] Snyk atau npm audit untuk imbasan dependency
499> - [x] Trivy untuk imbasan container image
500> - [x] Pengguna bukan root dalam Dockerfiles
501> - [x] Secrets dalam environment variables atau secret manager
502> - [x] Penjanaan SBOM pada setiap keluaran
503> - [x] Kesedaran OWASP Top 10 di seluruh pasukan
504