Siklus hidup pengembangan aman (secure SDLC) hingga rilis
Informasi Dokumen
| Atribut | Keterangan |
|---|---|
| Kode Dokumen | DTSI-SOP-DEV-01 |
| Kode LPM | — |
| Revisi | 1.0 |
| Tanggal Efektif | — (ditetapkan saat persetujuan Kepala DTSI) |
| Pemilik Dokumen | Departemen Teknologi dan Sistem Informasi (DTSI), Universitas Harapan Bangsa |
| Pemilik Proses | Kepala Departemen Teknologi dan Sistem Informasi (DTSI) |
| Kelas | Wajib |
| Status | DRAFT — siap peninjauan pimpinan |
1. Tujuan
Memastikan setiap perangkat lunak yang dikembangkan atau dimodifikasi DTSI (internal atau bersama mitra) melalui analisis risiko, desain aman, pengujian, dan rilis terkendali—selaras ISO/IEC 12207 (proses siklus hidup) dan praktik keamanan ISO/IEC 27002 serta kualitas ISO/IEC 25010 (indikatif).
2. Ruang lingkup
Aplikasi web/mobile/backend, skrip integrasi, dan modul yang mempengaruhi data civitas atau layanan kampus. Low-code dan konfigurasi paket mengikuti prinsip yang sama sesuai tingkat risiko.
3. Dokumen terkait
| Dokumen | Relasi |
|---|---|
| DTSI-SOP-DEV-04 | Repositori, review, build |
| DTSI-SOP-DEV-02 | QA, regresi, UAT |
| DTSI-SOP-DEV-03 | API & pertukaran data |
| DTSI-SOP-OPS-02 | RFC & rilis produksi |
| DTSI-SOP-OPS-09 | Pelepasan rilis |
| DTSI-SOP-SUP-02 | Mitra pengembangan |
| DTSI-SOP-CPL-02 | Data pribadi |
| DTSI-SOP-AST-02 | Klasifikasi data |
| DTSI-SOP-INC-01 | Kerentanan eksploitasi |
4. Fase SDLC (ringkas)
| Fase | Keluaran wajib |
|---|---|
| Permintaan / intake | Ruang lingkup, sponsor, klasifikasi data, perkiraan risiko |
| Desain | Model ancaman ringkas, kontrol autentikasi/otorisasi, logging audit |
| Implementasi | Branch terkendali, tidak ada rahasia di kode (DTSI-SOP-DEV-04) |
| Verifikasi | Pengujian sesuai DTSI-SOP-DEV-02; scan dependensi untuk risiko tinggi |
| Rilis | RFC + DTSI-SOP-OPS-09 |
| Operasi | Pemantauan, patch, pensiunan fitur |
5. Peran dan tanggung jawab
| Peran | Tanggung jawab |
|---|---|
| Kepala DTSI | Menyetujui pengecualian SDLC untuk perbaikan darurat (dengan rekaman). |
| Product owner / manajer proyek | Ruang lingkup, prioritas, UAT bisnis. |
| Tech lead | Desain teknis, threat model ringkas, gate kualitas. |
| Developer / QA | Kode, tes otomatis/manual, bukti regresi. |
6. Prosedur — gate keamanan
- Sebelum coding: tentukan klasifikasi data (DTSI-SOP-AST-02); jika data pribadi, lengkapi asesmen DTSI-SOP-CPL-02.
- Desain: dokumentasikan alur autentikasi, penyimpanan kredensial, dan titik API keluar/masuk.
- Dependensi: gunakan repositori paket internal/lockfile; tinjau lisensi (DTSI-SOP-AST-03).
- Kerentanan: temuan SAST/DAST atau pentest remediasi sebelum produksi kecuali pengecualian tercatat.
- Rilis darurat (hotfix): minimal peer review satu orang + RFC disederhanakan sesuai DTSI-SOP-OPS-02.
Diagram ringkas
flowchart LR
i[Intake] --> d[Desain_aman]
d --> c[Code_review]
c --> t[Test_QA]
t --> r[RFC_rilis]
r --> o[Operasi]
7. Rujukan ISO (indikatif)
- ISO/IEC 12207 — proses siklus hidup perangkat lunak.
- ISO/IEC 27002 — pengembangan aman, manajemen kerentanan teknis.
- ISO/IEC 25010 — kualitas produk (acuan pengujian).
8. Rekaman wajib
- Charter atau tiket epik, dokumen desain/threat ringkas, hasil uji, RFC, catatan pengecualian.
9. Indikator kinerja
| Indikator | Target |
|---|---|
| Rilis produksi tanpa RFC bila wajib menurut kebijakan perubahan | 0 |
| Kerentanan kritis terbuka > [Diisi] hari tanpa rencana | 0 |
10. Tinjauan dokumen
Minimal tahunan atau setelah insiden supply-chain / kerentanan mayor.
Register SOP: Daftar SOP Operasional