Apa beda DevOps dan DevSecOps?

DevOps berfokus pada kecepatan pengiriman software (kode → produksi). DevSecOps menambahkan keamanan secara sengaja ke seluruh siklus DevOps (shift-left): threat modelling sejak desain, SAST/SCA di pipeline, DAST di staging, runtime security di produksi, dan tata kelola yang dapat diaudit. Tujuannya: kecepatan tetap tinggi, postur keamanan tidak menjadi korban.

Apa itu NIST SP 800-218 SSDF dan kenapa relevan untuk korporat Indonesia?

NIST SP 800-218 Secure Software Development Framework (SSDF) adalah kerangka praktik pengembangan aman yang dirilis NIST sejak 2022. 4 grupnya (Prepare the Organization / Protect the Software / Produce Well-Secured Software / Respond to Vulnerabilities) telah menjadi rujukan global, termasuk persyaratan US Executive Order 14028. Korporat Indonesia memakainya karena auditor (ISO 27001, SOC 2, OJK) makin menanyakan kepatuhan ke SSDF sebagai standar emas SDLC aman.

Apa OWASP DevSecOps Maturity Model (DSOMM) dan bagaimana memakainya?

DSOMM adalah model maturity OWASP yang menilai posisi organisasi pada 5 dimensi (Build & Deployment, Culture & Org, Implementation, Information Gathering, Test & Verification) dengan 4 level maturity. Kami pakai sebagai bahasa bersama posisi awal, target, dan roadmap menutup gap antar siklus tahunan.

Apa SLSA framework dan kapan target level 2/3/4 masuk akal?

SLSA (Supply-chain Levels for Software Artifacts) adalah kerangka OpenSSF untuk integritas build pipeline, dengan 4 level: 1 (dokumentasi build), 2 (versioned source, hosted build, provenance), 3 (hardened build platform, non-falsifiable provenance), 4 (hermetic, two-party review). Mayoritas korporat menargetkan level 2-3 dalam 1-2 tahun. Level 4 untuk konteks dengan tuntutan tinggi (defense, kripto, infra kritis).

Apa itu SBOM dan apakah SBOM harus jadi standar setiap rilis?

SBOM (Software Bill of Materials) adalah daftar lengkap komponen & dependency dalam software, dengan format umum CycloneDX (OWASP) dan SPDX (Linux Foundation). Saat insiden besar (Log4Shell, XZ Utils), organisasi yang memiliki SBOM dapat menjawab 'aplikasi mana yang terpengaruh?' dalam jam. Tanpa SBOM, jawabannya bisa berhari-hari atau minggu. Untuk korporat dengan banyak aplikasi, SBOM standar per rilis adalah investasi yang lunas saat insiden pertama.

Apakah SAST + SCA + DAST cukup atau perlu lebih?

Kombinasi SAST + SCA + DAST + secret scanning + container/IaC scanning mencakup mayoritas vektor di kebanyakan korporat. Lapisan tambahan (IAST/RASP, fuzzing) masuk akal untuk produk berisiko tinggi atau matang. Yang sering luput: secret scanning di-history (bukan hanya komit terakhir), runtime detection (Falco) untuk anomali kontainer, dan SBOM yang dipakai aktif saat respons insiden.

Bagaimana DevSecOps mengubah peran AppSec?

Tanpa DevSecOps, AppSec berfungsi sebagai gatekeeper yang menjadi bottleneck. Dengan DevSecOps, AppSec bergeser jadi enabler: mengkurasi paved-road pipeline, melatih jaringan champion di tim developer, dan menjalankan policy as code yang otomatis. Hasilnya: tim engineering dapat tetap cepat, AppSec dapat fokus ke pekerjaan yang benar-benar butuh keahlian (threat modelling, review arsitektur).

Pembelajaran apa yang penting dari insiden Log4Shell, SolarWinds, XZ?

Log4Shell (CVE-2021-44228, Desember 2021), kerentanan supply-chain di library Java yang dipakai di mana-mana; SBOM penting untuk respons cepat. SolarWinds (2020), kompromi build pipeline software vendor terpercaya; signing & provenance penting. XZ Utils backdoor (CVE-2024-3094, 2024), social engineering jangka panjang ke maintainer; menunjukkan supply-chain risk meluas ke dimensi manusia. Modul menerjemahkan pelajaran ke kontrol konkret.

Berapa lama program ideal dan ukuran batch?

Bootcamp 4–5 hari untuk fondasi + workshop 2–3 hari untuk satu aliran kerja nyata. Untuk transformasi yang lebih dalam, program bertahap 2–3 bulan: bootcamp → hardening pipeline → SBOM + signing → champion network → maturity assessment. Ukuran batch ideal 10–20 peserta agar lab efektif.

Bagaimana mengukur dampak program ke bisnis / regulator?

Kami memakai Kirkpatrick: Level 1 (reaksi), Level 2 (pengetahuan via asesmen), Level 3 (perilaku, pipeline & policy yang dijalankan), Level 4 (hasil, cakupan tooling, posisi DSOMM, MTTR temuan kritis, SBOM coverage, kesiapan audit). Phillips ROI Level 5 atas permintaan keuangan dengan estimasi penghindaran insiden supply-chain dan biaya audit. Baseline ditetapkan saat TNA.

Upskilling Digital & AI

DevSecOps Foundations

Bekali tim engineering, AppSec, dan operations Anda menyatukan keamanan ke dalam CI/CD, shift-left, SAST/DAST/SCA, SBOM, supply-chain, dipandu NIST SP 800-218 SSDF (Secure Software Development Framework), OWASP DevSecOps Maturity Model (DSOMM), dan SLSA framework agar rilis cepat dan tetap dapat dipertahankan.

format: In-house / online / hybrid
durasi: 4–5 hari intensif atau program bertahap 2–3 bulan
peserta: 10–20 per batch
bahasa: Indonesia / English

Jawaban Singkat

Pelatihan DevSecOps Foundations adalah program in-house yang membekali tim engineering, AppSec, dan operations menyatukan keamanan ke CI/CD, shift-left, SAST/DAST/SCA, SBOM, image signing, supply-chain, dipandu NIST SP 800-218 SSDF, OWASP DevSecOps Maturity Model (DSOMM), dan SLSA framework agar rilis cepat dan posture tetap terjaga.

Konsultasi Gratis

Dipandu kerangka DevSecOps yang diakui industri

Materi mengikuti NIST SP 800-218 Secure Software Development Framework (2022), OWASP DevSecOps Maturity Model (DSOMM), SLSA framework levels 1–4, OWASP ASVS 4.0, dan ISO/IEC 27001:2022 A.8.25–A.8.28 (secure development), kerangka yang dirujuk auditor & regulator global.

Pembelajaran Log4Shell, SolarWinds, XZ: supply-chain itu nyata

Log4Shell (CVE-2021-44228) di Desember 2021 memukul ribuan organisasi karena library Java sangat luas dipakai. SolarWinds (2020) mengkompromikan build pipeline vendor terpercaya. XZ Utils backdoor (CVE-2024-3094) menunjukkan social engineering jangka panjang ke maintainer. Tanpa SBOM, image signing, dan disiplin supply-chain, organisasi merespons insiden ini dalam minggu, bukan jam.

Pola adopsi sehat: paved-road + jaringan champion

Adopsi DevSecOps yang berhasil di banyak tim biasanya berbasis paved-road yang dikurasi AppSec/Platform (SAST/SCA default, image signing default) + jaringan AppSec champion di setiap tim engineering. AppSec terpusat bergeser dari bottleneck reviewer menjadi enabler & escalation.

DevSecOps Foundations

DevSecOps adalah praktik menyatukan keamanan ke dalam siklus DevOps sejak fase paling awal (shift-left), mulai dari ancaman pemodelan, SAST/DAST/SCA, secret scanning, container & IaC scanning, SBOM, image signing, sampai runtime security, dipetakan ke NIST SP 800-218 Secure Software Development Framework (SSDF), OWASP DevSecOps Maturity Model (DSOMM), dan SLSA framework level 1–4, sehingga tim rilis cepat tanpa mengorbankan postur keamanan yang dapat diaudit.

1Disusun lewat training needs analysis (TNA): peran (developer, AppSec, DevOps, SRE, security), stack, dan posisi maturity DSOMM

2Dipetakan eksplisit ke NIST SP 800-218 SSDF (Prepare/Protect/Produce/Respond) dan SLSA framework levels 1–4

3Pendekatan shift-left konkret: ancaman pemodelan + SAST + SCA di pipeline dev, DAST di staging, runtime di produksi

4Pengelolaan rantai pasok perangkat lunak: SBOM (CycloneDX / SPDX), image signing (cosign / Sigstore), provenance attestation

5Pembelajaran insiden besar: SolarWinds (2020), Log4Shell (CVE-2021-44228), XZ Utils backdoor (CVE-2024-3094)

6Selaras kewajiban audit: ISO/IEC 27001:2022 (A.8.25-A.8.28 secure development), POJK 11/POJK.03/2022 (bank), UU PDP No. 27/2022

Hasil Terukur

Hasil yang Diharapkan

Indikator dipetakan ke level Kirkpatrick dan OWASP DSOMM maturity, target kualitatif, ditetapkan saat TNA terhadap baseline tim.

Penguasaan disiplin DevSecOps (Kirkpatrick L2, Learning): Mayoritas peserta lulus asesmen shift-left, ancaman pemodelan dasar, dan alur SAST/DAST/SCA/SBOM
Pipeline aman terverifikasi (L3, Behavior): CI/CD tim mengintegrasikan SAST + SCA + secret scanning, dengan policy break-build untuk severity tinggi
SBOM & supply-chain attestation: Build menghasilkan SBOM (CycloneDX/SPDX) tersimpan, image signed via cosign, dan provenance attestation tersedia
Posisi OWASP DSOMM: Tim memetakan posisi awal pada dimensi DSOMM (Build & Deployment, Culture & Org, Implementation, Information Gathering, Test & Verification) dan menyusun roadmap menutup gap
Kepatuhan NIST SSDF: Aktivitas pengembangan tim dipetakan ke 4 grup SSDF (Prepare Organization, Protect Software, Produce Well-Secured Software, Respond to Vulnerabilities)
Kesiapan audit & insiden: Bukti aktivitas keamanan terdokumentasi untuk audit ISO 27001, dan playbook respons insiden supply-chain tersedia

Format Program

Pilihan Format Program

Dipilih sesuai posisi maturity DSOMM tim, final ditetapkan setelah TNA.

DevSecOps Foundations Bootcamp (4–5 hari)

Bootcamp intensif: shift-left, ancaman pemodelan, SAST/DAST/SCA/secret scanning, container & IaC scanning, SBOM, image signing, runtime security. Hands-on di pipeline latihan.

Cocok untuk: Tim baru memulai DevSecOps secara serius (posisi DSOMM awal)

Supply-Chain Security Deep Dive

Workshop mendalam: SLSA framework levels 1–4, SBOM (CycloneDX/SPDX), in-toto attestation, cosign signing + verification policy, dan pembelajaran insiden SolarWinds/Log4Shell/XZ.

Cocok untuk: Tim yang menghadapi tuntutan supply-chain (regulator, klien enterprise, executive order setara)

Pipeline Hardening & Policy as Code Workshop

Sesi konsultatif menerapkan SAST/SCA/DAST di pipeline nyata + policy as code (Open Policy Agent / Conftest) untuk break-build dan kontrol promote.

Cocok untuk: Tim yang sudah punya CI/CD tapi keamanan belum integrasi konsisten

AppSec Champion & Maturity Berkala

Program berkala: jaringan AppSec champion, sesi tabletop, review temuan, dan asesmen ulang DSOMM untuk pendewasaan berkelanjutan.

Cocok untuk: Organisasi multi-tim engineering yang ingin mempertahankan momentum

Konsultasi Gratis

Diskusikan rencana DevSecOps tim engineering Anda

Mulai dari training needs analysis gratis: kami petakan stack, peran, posisi maturity OWASP DSOMM, dan kewajiban audit Anda, lalu susun proposal & estimasi anggaran berbasis kebutuhan nyata.

Minta Proposal

Kurikulum

Kerangka Kurikulum

Disusun dengan ADDIE; modul final dikurasi sesuai stack & posisi maturity dari TNA. Topik di bawah adalah cakupan penuh.

Perbandingan

Memilih Format Program

Matriks keputusan ringkas, rekomendasi final ditetapkan setelah training needs analysis.

Aspek	DevSecOps Foundations Bootcamp	Supply-Chain Security Deep Dive	Pipeline Hardening & Policy as Code	AppSec Champion & Maturity Berkala
Tujuan utama	Fondasi shift-left tim	Kesiapan SLSA + SBOM + signing	Pipeline integrasi konsisten	Pendewasaan berkelanjutan
Peserta ideal	Tim baru memulai DevSecOps	Tim menghadapi tuntutan supply-chain	Tim sudah CI/CD, kurang integrasi	Multi-tim engineering & champion
Durasi tipikal	4–5 hari intensif	2–3 hari workshop	1–2 minggu konsultatif	Bulanan / kuartalan
Output utama	Penguasaan dasar + lab	SBOM + signed image + playbook	Pipeline + policy as code	Champion + DSOMM naik
Kerangka inti	NIST SSDF + OWASP DSOMM dasar	SLSA + SBOM CycloneDX/SPDX	OPA Gatekeeper + ISO 27001 A.8.x	DSOMM siklus + Kirkpatrick

Untuk Siapa

Untuk Siapa Program Ini?

Disusun per peran karena tantangan DevSecOps berbeda untuk developer vs AppSec vs operations.

Software Developer / Engineer

Tim yang menulis kode dan paling efektif memperbaiki kerentanan saat masih murah.

Tantangan umum

SAST/SCA temuan menumpuk; tidak tahu prioritas; tidak ada bahasa bersama severity
Secret tidak sengaja ter-commit; secret scan baru aktif setelah kejadian
Threat modelling belum jadi bagian desain; kerentanan baru ditemukan saat audit / pen-test

Application Security (AppSec)

Tim yang mendukung developer agar postur keamanan terjaga.

Tantangan umum

Sulit men-scale review aman ke puluhan tim; berfungsi sebagai bottleneck
Belum ada jaringan AppSec champion di tim developer
Belum punya maturity baseline (DSOMM) yang dapat dilaporkan ke pimpinan

DevOps / Build Engineer / SRE

Tim yang merancang pipeline CI/CD dan menjalankan runtime.

Tantangan umum

Pipeline CI/CD belum integrasi SAST/SCA/DAST secara standar
SBOM belum dihasilkan; image tidak signed; supply-chain attestation tidak ada
Runtime security baru reaktif; tidak ada deteksi anomali kontainer

Security Engineer / Security Architect

Tim yang menetapkan policy keamanan dan menjaga posture organisasi.

Tantangan umum

Pemetaan kontrol keamanan ke kerangka (NIST SSDF, ISO 27001:2022) belum formal
Pembelajaran insiden besar (Log4Shell, SolarWinds, XZ) belum diterjemahkan ke playbook
Belum ada policy as code yang dieksekusi otomatis di pipeline

CTO / VP Engineering / Head of Eng

Pemilik keputusan investasi DevSecOps dan akuntabilitas posture.

Tantangan umum

Posisi maturity tidak diketahui; investasi keamanan tidak fokus
Tidak ada KPI keamanan yang dapat dilaporkan ke direksi / regulator
Audit ISO 27001 / POJK memunculkan temuan berulang

Konteks Industri

Penerapan per Industri

Satu use case spesifik per industri, menyebut alur kerja, regulasi, dan pola DevSecOps yang relevan.

Perbankan & Jasa Keuangan

Pipeline DevSecOps untuk layanan digital bank (internet banking, mobile, API channel) dengan SAST/SCA/DAST terintegrasi, SBOM untuk setiap build, image signed, dan bukti aktivitas keamanan yang dapat dipakai pemeriksaan OJK (POJK 11/POJK.03/2022, SEOJK 29/SEOJK.03/2022).

Lihat di konteks Perbankan & Jasa Keuangan →

Teknologi & Startup

Platform DevSecOps untuk perusahaan teknologi tumbuh cepat, agar semua tim engineering deploy aman tanpa membuat AppSec menjadi bottleneck, dengan jaringan AppSec champion dan policy as code.

Lihat di konteks Teknologi & Startup →

BUMN

Standar DevSecOps holding lintas anak usaha BUMN dengan baseline keamanan seragam, SBOM standar, dan bukti pengembangan aman yang dapat dipakai SPI/BPK serta selaras AKHLAK 'Amanah & Kompeten'.

Lihat di konteks BUMN →

Pemerintahan & Sektor Publik

Pengembangan aman aplikasi layanan publik digital (SPBE) dengan SBOM, signing, dan kontrol akses pipeline yang dapat dipertanggungjawabkan ke BSSN, Inspektorat, dan publik selaras UU PDP.

Lihat di konteks Pemerintahan & Sektor Publik →

Kesehatan & Farmasi

Pengembangan aman aplikasi rumah sakit (SIMRS, modul integrasi BPJS, modul rekam medis elektronik) dengan kontrol pipeline yang melindungi data pasien (UU PDP data spesifik) dan siap akreditasi KARS.

Lihat di konteks Kesehatan & Farmasi →

Energi & Sumber Daya

DevSecOps untuk aplikasi korporat & sistem support operasi sektor energi (migas, kelistrikan) dengan kontrol batas OT/IT, agar perubahan aplikasi tidak menjadi vektor masuk ke sistem operasional kritis.

Lihat di konteks Energi & Sumber Daya →

Metode Pengiriman

Cara Pelaksanaan

Format menyesuaikan sebaran tim engineering; semua format hands-on di pipeline latihan, bukan teori saja.

In-house intensif & workshop

Fasilitator datang ke kantor untuk bootcamp 4–5 hari; lab di repositori latihan + integrasi ke pipeline internal Anda (NDA berlaku).

Live online + lab terkelola

Kelas interaktif via Zoom/Teams; lab dijalankan di GitHub/GitLab sandbox + container registry latihan yang disediakan Neksus.

Hybrid

Tatap muka untuk modul konsultatif (pipeline hardening, policy as code), online untuk modul konsep & lab, cocok untuk tim multi-lokasi.

Jadwal disusun mengikuti kalender release & on-call tim

Materi & lab dilokalkan ke stack yang dipakai (GitHub Actions / GitLab CI / Jenkins / Azure DevOps)

Repositori latihan disediakan; opsi integrasi ke repo internal non-produksi tersedia

Sertifikat keikutsertaan + peta posisi terhadap OWASP DSOMM

Laporan evaluasi & rekomendasi prioritas untuk pimpinan keamanan / engineering

Alur Pelaksanaan

Alur Kerja Sama (Engagement Path)

Mengikuti ADDIE + NIST SSDF Prepare/Protect/Produce/Respond, durasi kualitatif, disesuaikan posisi DSOMM.

Training Needs Analysis & Posisi DSOMM

Pemetaan stack (GitHub/GitLab/Jenkins/Azure DevOps), peran, posisi OWASP DSOMM, ML… tooling SAST/SCA yang sudah dipakai, baseline pengukuran, dan kewajiban audit.

Tahap awal

Desain Program per Peran (ADDIE)

Penyusunan tujuan pembelajaran terukur, silabus per peran (developer/AppSec/DevOps/security), skenario lab pipeline, dan peta kerangka ke NIST SSDF + ISO 27001.

Sebelum delivery

DevSecOps Foundations Bootcamp

Sesi inti 4–5 hari: shift-left, ancaman pemodelan, SAST/DAST/SCA/secret scan, container & IaC scanning, SBOM, image signing, runtime security. Hands-on di pipeline latihan.

Minggu inti

Pipeline Hardening & Policy as Code

Sesi konsultatif menerapkan SAST/SCA/DAST di pipeline tim + policy as code (OPA/Conftest/Kyverno) untuk break-build dan kontrol promote.

Bergulir per tim

Supply-Chain & SBOM Roll-out

Workshop SLSA levels 2-3 + SBOM (CycloneDX/SPDX) per build + image signing dengan cosign + admission policy verifying signature.

Bergulir per repositori

Champion, Tabletop & Evaluasi Berkala

Jaringan AppSec champion aktif, tabletop respons insiden supply-chain, asesmen ulang DSOMM, evaluasi Kirkpatrick L1–L4 (Phillips L5 bila diminta).

Berkala & berkelanjutan

Studi Kasus

Pola Hasil Tipikal

Gambaran pola dampak berdasarkan struktur program serupa, ilustratif, tanpa nama klien atau angka yang dijanjikan. NIST SSDF, OWASP DSOMM, SLSA, dan insiden SolarWinds/Log4Shell/XZ diatribusikan sebagai sumber eksternal (NIST, OWASP Foundation, Linux Foundation OpenSSF, MITRE CVE).

Institusi keuangan dengan banyak repositori channel digital

Intervensi

Bootcamp + pipeline hardening + SBOM + image signing + champion network

Hasil

Bukti pengembangan aman per rilis tersedia; supply-chain dapat ditelusuri saat insiden CVE besar

Perusahaan teknologi dengan puluhan tim engineering

Intervensi

Maturity assessment OWASP DSOMM + paved-road pipeline + jaringan champion

Hasil

Posisi DSOMM naik konsisten, AppSec terpusat bergeser ke peran enabler, rilis tidak melambat

Instansi pemerintah penyelenggara SPBE

Intervensi

Bootcamp + workshop SBOM & secure SDLC + dokumentasi BSSN/SPBE

Hasil

Bukti pengembangan aman tersedia untuk Indeks SPBE; aplikasi layanan publik diperkuat secara terukur

Informasi Pengadaan

Informasi untuk Procurement & Vendor Management

Kelengkapan yang dibutuhkan tim pengadaan, keuangan, hukum, dan keamanan informasi.

Badan hukum

PT berbadan hukum di bawah ekosistem Selestia (Eduprima group); NPWP & dokumen legal lengkap; siap PKS/kontrak dan proses vendor onboarding.

Penawaran

Proposal terstruktur: tujuan pembelajaran terukur, silabus per peran, peta kerangka (NIST SP 800-218 SSDF / OWASP DSOMM / SLSA / ISO 27001:2022 A.8.25-A.8.28 / POJK / UU PDP), profil fasilitator, jadwal, dan rincian biaya berbasis TNA.

Model harga

Berbasis TNA, flat per program, per sesi, per peserta, tiered, atau custom. Estimasi diberikan setelah TNA disepakati.

Pembayaran & pajak

Termin fleksibel (DP + pelunasan / termin per batch); faktur pajak (PPN) dan dukungan dokumen PO tersedia.

Proses BUMN/pemerintah

Terbiasa dengan tahapan pengadaan BUMN/instansi: dokumen vendor, e-procurement / SPSE, HPS/penawaran, dan klausul kepatuhan.

Pengukuran

Laporan evaluasi Kirkpatrick Level 1–3 (kehadiran, asesmen pengetahuan, perilaku pipeline) + peta posisi OWASP DSOMM; Phillips ROI Level 5 atas permintaan keuangan/risiko.

Kerahasiaan & keamanan data

Penandatanganan NDA, klausul kerahasiaan kode & konfigurasi pipeline yang dipakai sebagai studi kasus, dan praktik selaras UU PDP serta kebijakan keamanan internal Anda.

Kepemilikan materi

Pipeline reference, policy as code template, dan dokumen yang dibangun untuk perusahaan menjadi milik perusahaan; hak pakai materi pelatihan disepakati di kontrak.

FAQ

Pertanyaan Umum

Langkah Berikutnya

Diskusikan rencana DevSecOps tim engineering Anda

Mulai dari training needs analysis gratis: kami petakan stack, peran, posisi maturity OWASP DSOMM, dan kewajiban audit Anda, lalu susun proposal & estimasi anggaran berbasis kebutuhan nyata.

Training needs analysis tanpa biaya, langkah pertama yang natural
Proposal, silabus per peran, dan peta kerangka (NIST SSDF / OWASP DSOMM / SLSA / ISO 27001 / POJK) dalam beberapa hari kerja
Lab di pipeline latihan; opsi integrasi ke pipeline internal non-produksi
Dokumen siap procurement (company profile, NPWP, NDA, faktur PPN)

Minta Proposal & TNA Gratis Konsultasi Gratis

Jelajahi Lebih Lanjut

Topik Terkait

Pelatihan Cloud Computing Pelatihan Docker Dan Kubernetes Pelatihan Mlops Production Ai Engineering Keamanan Siber Kesadaran Karyawan Agile Scrum Tim Produk

Diskusikan rencana DevSecOps tim engineering Anda

Mulai dari training needs analysis gratis: kami petakan stack, peran, posisi maturity OWASP DSOMM, dan kewajiban audit Anda, lalu susun proposal & estimasi anggaran berbasis kebutuhan nyata.

Training needs analysis tanpa biaya, langkah pertama yang natural
Proposal, silabus per peran, dan peta kerangka (NIST SSDF / OWASP DSOMM / SLSA / ISO 27001 / POJK) dalam beberapa hari kerja
Lab di pipeline latihan; opsi integrasi ke pipeline internal non-produksi
Dokumen siap procurement (company profile, NPWP, NDA, faktur PPN)

DevSecOps Foundations

DevSecOps Foundations

Hasil yang Diharapkan

Pilihan Format Program

DevSecOps Foundations Bootcamp (4–5 hari)

Supply-Chain Security Deep Dive

Pipeline Hardening & Policy as Code Workshop

AppSec Champion & Maturity Berkala

Diskusikan rencana DevSecOps tim engineering Anda

Kerangka Kurikulum

1Fondasi DevSecOps & Shift-Left

2Ancaman Pemodelan & Secure Design

3Static & Dynamic Analysis (SAST / DAST / IAST)

4Software Composition Analysis & Supply-Chain

5Kontainer, IaC & Cloud Security in Pipeline

6Runtime Security, Logging & Insiden Respons

7Tata Kelola, Kepatuhan & Maturity Roadmap

Memilih Format Program

Untuk Siapa Program Ini?

Software Developer / Engineer

Application Security (AppSec)

DevOps / Build Engineer / SRE

Security Engineer / Security Architect

CTO / VP Engineering / Head of Eng

Penerapan per Industri

Cara Pelaksanaan

In-house intensif & workshop

Live online + lab terkelola

Hybrid

Alur Kerja Sama (Engagement Path)

Training Needs Analysis & Posisi DSOMM

Desain Program per Peran (ADDIE)

DevSecOps Foundations Bootcamp

Pipeline Hardening & Policy as Code

Supply-Chain & SBOM Roll-out

Champion, Tabletop & Evaluasi Berkala

Pola Hasil Tipikal

Informasi untuk Procurement & Vendor Management

Pertanyaan Umum

Apa beda DevOps dan DevSecOps?

Apa itu NIST SP 800-218 SSDF dan kenapa relevan untuk korporat Indonesia?

Apa OWASP DevSecOps Maturity Model (DSOMM) dan bagaimana memakainya?

Apa SLSA framework dan kapan target level 2/3/4 masuk akal?

Apa itu SBOM dan apakah SBOM harus jadi standar setiap rilis?

Apakah SAST + SCA + DAST cukup atau perlu lebih?

Bagaimana DevSecOps mengubah peran AppSec?

Pembelajaran apa yang penting dari insiden Log4Shell, SolarWinds, XZ?

Berapa lama program ideal dan ukuran batch?

Bagaimana mengukur dampak program ke bisnis / regulator?

Diskusikan rencana DevSecOps tim engineering Anda

Topik Terkait

Diskusikan rencana DevSecOps tim engineering Anda