Keamanan aplikasi web saat ini menghadapi tantangan yang sangat kompleks seiring dengan meningkatnya intensitas serangan siber, khususnya terkait injection flaws dan authentication bypass yang mengeksploitasi celah kerentanan baik pada level kode sumber maupun saat aplikasi sedang dijalankan. Meskipun berbagai metode pengujian keamanan statis dan dinamis telah banyak dikembangkan, implementasinya sering kali dilakukan secara terpisah. Pendekatan yang terfragmentasi tersebut cenderung menghasilkan tingkat false positive yang tinggi dan cakupan deteksi yang tidak menyeluruh, sehingga meninggalkan risiko keamanan yang tidak teridentifikasi secara optimal. Penelitian ini bertujuan untuk merancang serta menguji efektivitas pendekatan Hybrid Security Testing yang mengombinasikan pengujian statis berbasis SonarQube (Static Application Security Testing - SAST) dan pengujian dinamis menggunakan OWASP ZAP (Dynamic Application Security Testing - DAST). Eksperimen dilakukan pada lingkungan staging website XYZ dengan parameter evaluasi yang merujuk pada kategori kerentanan OWASP Top 10 2021 serta akurasi identifikasi celah keamanan. Hasil penelitian menunjukkan bahwa penerapan metode hibrida berhasil meningkatkan cakupan deteksi kerentanan kritis melalui integrasi hasil analisis dari kedua instrumen pengujian. Dalam penelitian ini, SonarQube terbukti efektif dalam mengidentifikasi aspek kualitas kode seperti security code smells dan mendeteksi 238 security hotspots pada struktur kode. Sementara itu, OWASP ZAP berhasil memverifikasi 35 alerts celah runtime nyata, termasuk kerentanan Cross-Site Scripting (XSS) dan authentication flaws. Penelitian ini membuktikan bahwa integrasi hasil pengujian SonarQube dan OWASP ZAP mampu memperkuat jaminan keamanan aplikasi web secara komprehensif tanpa harus bergantung pada satu metode pengujian tunggal, sekaligus memberikan data yang lebih akurat untuk proses remediasi.

D. Budiyanto and M. Mabruri, “Pentingnya Keamanan Siber dalam Era Digital: Tinjauan Global dan Kondisi di Indonesia,” Pros. Semin. Nas. Sains dan Teknol. Seri III Fak. Sains dan Teknol. Univ. Terbuka, vol. 2, no. 1, pp. 981–994, 2025.

G. Pramuja Inngam Fanani, Muhammad Amirul Mu’min, and N. Tristanti, “Analisis dan Pengujian Kerentanan Website Menggunakan OWASP ZAP,” J. Ris. Sist. dan Teknol. Inf., vol. 3, no. 1, pp. 36–50, 2025, doi: 10.30787/restia.v3i1.1886.

I. OWASP Foundation, “OWASP Top Ten | OWASP Foundation,” OWASP Top Ten, 2023. https://owasp.org/www-project-top-ten/# (accessed May 09, 2026).

F. A. Hassanah, E. Ryansyah, F. M. Setiawan, R. Alamsyah, and A. S. Y. Irawan, “Analisis Kerentanan Keamanan Menggunakan OWASP ZAP dan Pengujian Manual pada Tampilan Antarmuka Laman PDDikti,” JELIKU (Jurnal Elektron. Ilmu Komput. Udayana), vol. 13, no. 3, pp. 671–678, 2025, doi: 10.24843/JLK.2025.v13.i03.p14.

A. Fadlil, I. Riadi, and M. A. Mu’min, “Mitigation from SQL Injection Attacks on Web Server Using Open Web Application Security Project Framework,” Int. J. Eng., vol. 37, no. 4, pp. 625–634, 2024, doi: 10.5829/ije.2024.37.04a.05.

I. Riadi, A. Fadlil, and M. A. Mu’min, “OWASP Framework-based Network Forensics to Analyze the SQLi Attacks on Web Servers,” MATRIK J. Manajemen, Tek. Inform. dan Rekayasa Komput., vol. 22, no. 3, pp. 481–494, 2023, doi: 10.30812/matrik.v22i3.3018.

Sonar, “Code Quality, Security & Static Analysis Tool with SonarQube,” 2025. https://www.sonarsource.com/products/sonarqube/ (accessed Jan. 09, 2026).

P. Emanuelsson and U. Nilsson, “A Comparative Study of Industrial Static Analysis Tools,” Electron. Notes Theor. Comput. Sci., vol. 217, no. C, pp. 5–21, 2008, doi: 10.1016/j.entcs.2008.06.039.

R. Rahman and D. Fatkhur Razak, “Pengujian Penetrasi Jaringan Menggunakan Owasp Zap Dan Sqlmap Untuk Mengidentifikasi Kerentanan Keamanan Website,” J. Ris. Sist. Inf., vol. 1, no. 4, p. 11, 2024.

A. M. Irzan and E. Sulistiyani, “Owasp Zap vs Arachni: Which One is Better in Vulnerability Assesment?,” 2024 9th Int. Conf. Informatics Comput. ICIC 2024, pp. 1–6, 2024, doi: 10.1109/ICIC64337.2024.10956935.

Muhammad Amirul Mu’min, Yana Safitri, Galih Pramuja Inngam Fanani, Setiawan Ardi Wijaya, and Novi Tristanti, “Security Analysis of XYZ Website Using OWASP Zap Tools,” Journix J. Informatics Comput., vol. 1, no. 1, pp. 10–20, 2025, doi: 10.63866/journix.v1i1.1.

V. Bhutani, F. G. Toosi, and J. Buckley, “Analysing the Analysers: An Investigation of Source Code Analysis Tools,” Appl. Comput. Syst., vol. 29, no. 1, pp. 98–111, 2024, doi: 10.2478/acss-2024-0013.

A. F. Rahmawati and Y. A. Susetyo, “Analisis Quality Code Menggunakan Sonarqube Dalam Suatu Aplikasi Berbasis Laravel,” IT-Explore J. Penerapan Teknol. Inf. dan Komun., vol. 2, no. 2, pp. 99–103, 2023, doi: 10.24246/itexplore.v2i2.2023.pp99-103.

N. Sitorus, A. Sirait, E. Lumbantoruan, F. Panjaitan, H. S. H. Harahap, and C. Y. Simangunsong, “Analisis Code Review Menggunakan SonarQube Terhadap Aplikasi Rumah Kreatif Toba Berbasis Website,” J. Comput. Digit. Bus., vol. 4, no. 1, pp. 16–23, 2025, doi: 10.56427/jcbd.v4i1.606.

D. Marcilio, C. A. Furia, R. Bonifácio, and G. Pinto, “SpongeBugs: Automatically generating fix suggestions in response to static code analysis warnings,” J. Syst. Softw., vol. 168, 2020, doi: 10.1016/j.jss.2020.110671.

F. Awanda Alviansyah and E. Ramadhani, “Implementasi Dynamic Application Security Testing pada Aplikasi Berbasis Android,” Automata, vol. 2, no. 1, pp. 85–90, 2021.