measures ssdlc
Μάθετε περισσότερα για διάφορα μέτρα ασφαλείας που πρέπει να εφαρμόσετε για ένα ασφαλές SDLC ή SSDLC:
Καθώς η τεχνολογία εξελίσσεται ραγδαία, οι σχετικές με την ασφάλεια απειλές εισβολής και κλοπής ασφαλών δεδομένων έχουν επίσης αυξηθεί ανάλογα. Έτσι, χωρίς αμφιβολία ότι η ανάπτυξη της τεχνολογίας δημιουργεί προκλήσεις στους κατασκευαστές λογισμικού για να διασφαλίσουν ότι το λογισμικό τους είναι ισχυρό και ανθεκτικό έναντι των απειλών και των ευπαθειών ασφαλείας.
Δεν είναι δυνατή η κυκλοφορία ενός προϊόντος λογισμικού, ακόμη και αν λειτουργεί τέλεια για την προβλεπόμενη λειτουργικότητα, εκτός εάν αποδειχθεί ότι είναι εξαιρετικά ασφαλές και πληροί τα καθορισμένα και ρυθμιζόμενα πρότυπα ασφάλειας και απορρήτου, ειδικά σε τομείς όπως η Άμυνα, τα Οικονομικά και η Υγειονομική περίθαλψη που περιλαμβάνουν προσωπικά και οικονομικά δεδομένα .
Δεν μπορεί κανείς να έχει ένα ελάττωμα ασφαλείας στο προϊόν όταν χρησιμοποιείται, είτε είναι υψηλή είτε μεσαία σοβαρότητα. Ως εκ τούτου, είναι πολύ σημαντικό να προστατεύσουμε το λογισμικό και τα δεδομένα από κάθε είδους επίθεση, κακόβουλες απειλές, ευπάθειες και να διασφαλίσουμε την αξιοπιστία του λογισμικού στον τελικό χρήστη.
Σε αντίθεση με την παραδοσιακή ανάπτυξη λογισμικού, η δοκιμή στην τελευταία φάση μετά την ανάπτυξη ολόκληρου του λογισμικού δεν είναι πλέον αποτελεσματική. Με την εφαρμογή του concept Agile, DevOps και ShiftLeft, είναι απαραίτητο να πραγματοποιούνται δοκιμές τόσο νωρίς όσο και σε κάθε φάση του κύκλου ζωής της εφαρμογής.
Τούτου λεχθέντος, η ασφάλεια του λογισμικού δεν μπορεί να κατασκευαστεί ή ακόμη και να δοκιμαστεί στο τελευταίο στάδιο και ως εκ τούτου πρέπει να κατασκευαστεί σε κάθε φάση για να εξασφαλιστεί η συνολική ασφάλεια του λογισμικού.
Τι θα μάθετε:
Μέτρα ασφαλείας για SSDLC
Παρακάτω αναφέρονται τα διάφορα μέσα μέτρων που σχετίζονται με την ασφάλεια που μπορούν να εφαρμοστούν σε ολόκληρο τον κύκλο ζωής της ανάπτυξης λογισμικού για να διασφαλιστεί το Secure SDLC ή SSDLC και όσο το δυνατόν περισσότερο, τα ελαττώματα δεν επιτρέπεται να προχωρήσουν στην επόμενη φάση.
Οι διάφορες αναλύσεις και αξιολογήσεις ασφαλείας στις οποίες πρέπει να ενσωματωθεί η ασφάλεια σε φάσεις SDLC.
- Φάση απαιτήσεων
- Φάση προγραμματισμού
- Αρχιτεκτονική και σχεδιαστική φάση: Αξιολόγηση Κινδύνου Ασφάλειας βάσει του σχεδιασμού.
- Φάση ανάπτυξης: Secure Code Analysis, μια στατική ανάλυση του κώδικα για την ασφάλεια.
- Φάση εφαρμογής: Δυναμική ανάλυση κώδικα, μια δοκιμή ασφάλειας εφαρμογών.
- Δοκιμή - Φάση πριν από την ανάπτυξη: Δοκιμή διείσδυσης και ανάλυση ευπάθειας.
# 1) Φάση απαιτήσεων
- Κατά κύριο λόγο, προκειμένου να διασφαλιστεί ότι τα απαραίτητα μέτρα ασφαλείας είναι ενσωματωμένα στο λογισμικό, Ειδικές απαιτήσεις που σχετίζονται με την ασφάλεια πρέπει να καταγράφεται με σαφήνεια κατά τη φάση των απαιτήσεων με αρκετές λεπτομέρειες και αναμενόμενα αποτελέσματα.
- Κατά τον προσδιορισμό των τυπικών περιπτώσεων χρήσης και επιχειρηματικών σεναρίων, ένα σαφές σύνολο Περιπτώσεις και σενάρια χρήσης που σχετίζονται με την ασφάλεια Για λόγους επαλήθευσης πρέπει να προσδιοριστούν προκειμένου να καταγραφούν οι δυνατότητες ασφαλείας και να σχεδιαστούν σενάρια δοκιμών ασφαλείας.
Παρακάτω παρατίθενται μερικά παραδείγματα παραδειγμάτων που απεικονίζουν τις ρητές απαιτήσεις που σχετίζονται με την ασφάλεια και μπορούν να ληφθούν.
Sec-Req-01: Το σύστημα πρέπει να εφαρμόζει μέτρα ελέγχου ταυτότητας σε όλες τις πύλες και τα σημεία εισόδου.
Sec-Req-02: Το σύστημα απαιτείται για την εφαρμογή ελέγχου ταυτότητας μέσω μιας οθόνης ασφαλούς σύνδεσης.
Sec-Req-03: Τα ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ κρυπτογραφούνται σε ηρεμία.
# 2) Φάση προγραμματισμού
Σε υψηλό επίπεδο, αλλά όχι μόνο σε αυτά, τα ακόλουθα σημεία πρέπει να ληφθούν υπόψη κατά τη φάση προγραμματισμού.
ερωτήσεις και απαντήσεις συνέντευξης του διαχειριστή της πληροφορικής
- Ενα δυνατό, Ειδική ομάδα ασφαλείας , λειτουργεί εκτός του PMO (γραφείο διαχείρισης έργου) της ομάδας του προγράμματος, που αποτελείται από Αξιωματικός ασφαλείας, Αρχιτέκτονες ασφαλείας, Εξεταστές ασφαλείας να διαμορφωθεί για να εκτελεί και να διαχειρίζεται όλες τις δραστηριότητες που σχετίζονται με την ασφάλεια του προγράμματος με αμερόληπτο τρόπο. Για καθέναν από αυτούς τους ρόλους, καθορίζεται ένα σαφές RnR (ρόλοι και ευθύνες) και το RACI.
- Οποιος κλιμακώσεις, αμφισημίες που σχετίζονται με θέματα ασφάλειας πρέπει να αντιμετωπιστεί από το PSO (Product Security Officer) έτσι ώστε η ομάδα ασφαλείας να λειτουργεί ομαλά και να βοηθά στη λήψη των σωστών αποφάσεων.
- Ένα στιβαρό Στρατηγική δοκιμής ασφάλειας καθορίζοντας τον τρόπο εφαρμογής των απαιτήσεων που σχετίζονται με την ασφάλεια, πώς, πότε και τι να δοκιμάσετε, ποια εργαλεία πρέπει να χρησιμοποιούνται σε κάθε στάδιο, πρέπει να προσδιοριστούν.
- Είναι υποχρεωτικό να συμπεριληφθεί το Σημείο επαφής ασφαλείας για όλες τις τεχνικές / αναθεωρητικές συζητήσεις που σχετίζονται με το πρόγραμμα, έτσι ώστε η ομάδα ασφαλείας να γνωρίζει τυχόν αλλαγές που συμβαίνουν στο πρόγραμμα.
# 3) Φάση αρχιτεκτονικής και σχεδιασμού
Δίνοντας μεγαλύτερη προσοχή στις πτυχές ασφαλείας από νωρίς κατά τη διάρκεια της Φάσης Σχεδιασμού θα βοηθήσει στην αποτροπή των κινδύνων ασφαλείας και στη μείωση σημαντικών προσπαθειών στις αλλαγές του Σχεδιασμού αργότερα στο SDLC.
Κατά τον σχεδιασμό του λογισμικού και την υποδομή στην οποία θα φιλοξενείται το λογισμικό, είναι δυνατόν Εφαρμογές σχεδιασμού ασφαλείας πρέπει να είναι καλά σχεδιασμένα με τη συμμετοχή των αρχιτεκτόνων ασφαλείας.
Οποιαδήποτε ασάφεια και συγκρούσεις μεταξύ των λειτουργικών και μη λειτουργικών πτυχών Σχεδιασμού και Αρχιτεκτονικής πρέπει να διευθετηθούν μέσω συνεδριών ανταλλαγής ιδεών που περιλαμβάνουν τα σωστά ενδιαφερόμενα μέρη.
Κατά τη διάρκεια αυτής της φάσης, μια λεπτομερής Εκτίμηση Κινδύνου Ασφάλειας Προϊόντος, η οποία καλείται επίσης μερικές φορές «Στατική αξιολόγηση» πρέπει να πραγματοποιηθεί από την ομάδα εμπειρογνωμόνων ασφαλείας.
Εκτίμηση κινδύνου ασφάλειας περιλαμβάνει μια επισκόπηση των προγραμμάτων από άποψη ασφάλειας στο προκαταρκτικό στάδιο σχεδιασμού / αρχιτεκτονικής για τον εντοπισμό των ελαττωμάτων που σχετίζονται με την ασφάλεια από τη σκοπιά του Σχεδιασμού και, κατά συνέπεια, να αυξήσει το Προϊόν Κίνδυνοι ασφαλείας στην ομάδα του έργου για να τα αντιμετωπίσει και να αποφύγει την επόμενη φάση.
τι είναι η δοκιμή μαύρου κουτιού με παράδειγμα
Αυτές οι αξιολογήσεις πραγματοποιούνται με βάση τις οδηγίες, τα πρότυπα και τους ελέγχους οργανωτικής / βιομηχανικής ασφάλειας που περιγράφονται σε αυτά τα έγγραφα. Π.χ. UXW 00320, UXW 030017
Κατά την αξιολόγηση κινδύνων για την ασφάλεια προϊόντων:
- Οι απαιτήσεις, οι δυνατότητες, οι ιστορίες χρηστών και τα έγγραφα σχεδιασμού τους εξετάζονται, με βάση τις λεπτομέρειες, τα αντικείμενα που μοιράζονται η ομάδα του έργου, Π.χ. Έγγραφα σχεδιασμού (HLDD και LLDD). Οι αξιολογήσεις περιλαμβάνουν επίσης συζητήσεις με τα σχετικά μέλη της ομάδας του έργου σε περίπτωση απουσίας εγγράφων ή για διευκρίνιση εάν υπάρχουν αμφιβολίες.
- Τα κενά εντοπίζονται κατά τη χαρτογράφηση των απαιτήσεων ασφαλείας του προγράμματος έναντι των καθορισμένων προτύπων και άλλων βέλτιστων πρακτικών. Μερικές φορές αναπτύσσονται επίσης μοντέλα απειλής βάσει των εντοπισμένων κενών.
- Αυτά τα κενά εντοπίζονται ως πιθανοί κίνδυνοι ασφαλείας που περιλαμβάνουν επίσης υποδείξεις πιθανών μετριασμών για εφαρμογή, αυξάνονται και διαχειρίζονται.
- Μόλις αυτοί οι μετριασμοί εφαρμοστούν από την ομάδα του έργου, επαληθεύονται για το κλείσιμο μέσω κατάλληλων δοκιμαστικών περιπτώσεων που έχουν σχεδιαστεί από την ομάδα δοκιμής συστήματος.
- Το Risk Management Matrix, το οποίο παρέχει ιχνηλασιμότητα, είναι έτοιμο να παρακολουθεί αυτούς τους κινδύνους. Η έγκριση και η υπογραφή με τον υπολειπόμενο κίνδυνο θα ληφθούν από τον Αρχιτέκτονα Ασφαλείας και τον PSO.
Τα τυπικά μοτίβα απειλών που προσδιορίζονται στη φάση σχεδιασμού σχετίζονται με την επικύρωση εισόδου, τη διαχείριση ελέγχου / καταγραφής, τις διαμορφώσεις και τις κρυπτογραφήσεις. Η αναγνώριση κινδύνων περιλαμβάνει επιθέσεις ευπάθειας όπως Αδύναμοι κωδικοί πρόσβασης, Simple Brute Force Attacks κ.λπ.,
Οι τυπικές κριτικές περιλαμβάνουν κινδύνους που σχετίζονται με την πρόσβαση σε προσωπικά δεδομένα, την πρόσβαση σε μονοπάτια ελέγχου, τις οντότητες μαύρης λίστας-επιτρεπόμενων, τον καθαρισμό δεδομένων και τη δραστηριότητα διαγραφής.
Δείγματα σεναρίων δοκιμής περιλαμβάνουν:
- Ευπάθεια υπερχείλισης Buffer: Για να διασφαλιστεί ότι με παράμετροι ασαφής με μη αυτόματο τρόπο, δεν θα πρέπει να είναι δυνατή η επιβράδυνση του διακομιστή και να εξαναγκάζεται ο διακομιστής να μην ανταποκριθεί (άρνηση υπηρεσίας).
- Εξοικονόμηση δεδομένων: Για να διασφαλιστεί η σωστή εξυγίανση δεδομένων για κάθε είσοδο και έξοδο, έτσι ώστε ο εισβολέας να μην μπορεί να εισάγει και να αποθηκεύσει το κακόβουλο περιεχόμενο στο σύστημα.
# 4) Φάση ανάπτυξης
Ανάλυση ασφαλούς κώδικα είναι ένα Αξιολόγηση στατικού κώδικα μέθοδος που χρησιμοποιείται για την αξιολόγηση του Κωδικός ασφαλείας από τις διάφορες δυνατότητες του λογισμικού χρησιμοποιώντας ένα αυτοματοποιημένο εργαλείο σάρωσης. Παράδειγμα: Οχυρώνω.
Αυτή η ανάλυση πραγματοποιείται σε κάθε κωδικό check-in / build για σάρωση του κώδικα που δημιουργείται για τις απειλές ασφαλείας. Αυτή η αξιολόγηση γίνεται γενικά σε επίπεδο Ιστορίας χρηστών.
- Οι σαρώσεις Fortify μέσω προσθηκών πρέπει να εγκατασταθούν στα μηχανήματα του Προγραμματιστή.
- Το Fortify πρέπει να ενσωματωθεί στο πρότυπο κατασκευής.
- Η αυτόματη σάρωση θα πραγματοποιείται σε όλες τις εκδόσεις σε καθημερινή βάση.
- Το αποτέλεσμα σάρωσης θα αναλυθεί από την ομάδα ασφαλείας για ψευδώς θετικά.
- Τα ελαττώματα που εντοπίζονται από αυτήν την αξιολόγηση αυξάνονται και διαχειρίζονται στο κλείσιμο, έτσι ώστε η διαρροή να ελαχιστοποιείται / μηδενίζεται στο επόμενο επίπεδο.
Δείγματα σεναρίων δοκιμής περιλαμβάνουν:
- Για να διασφαλιστεί ότι τα ευαίσθητα δεδομένα δεν αποστέλλονται σε απλό κείμενο κατά τη μετάδοση δεδομένων.
- Για να διασφαλιστεί η ασφαλής μετάδοση δεδομένων, πρέπει να αναπτυχθούν εξωτερικά API σε ένα κανάλι HTTPS.
# 5) Φάση υλοποίησης
Δυναμική ανάλυση κώδικα δεν είναι τίποτα άλλο από το Application Security Testing, το οποίο ονομάζεται επίσης δοκιμή OWASP (Open Web Application Security Project). Η ανάλυση ευπάθειας και η δοκιμή διείσδυσης (VAPT) πρέπει να πραγματοποιηθούν κατά τη φάση υλοποίησης / δοκιμής.
Αυτή η ανάλυση αξιολογεί τα δυαδικά αρχεία και ορισμένες διαμορφώσεις περιβάλλοντος και ενισχύει περαιτέρω τον κώδικα για τις απαιτήσεις ασφαλείας.
Στο πλαίσιο αυτής της ανάλυσης, το Δυναμική συμπεριφορά ή λειτουργικότητα διαφόρων δυνατοτήτων των προγραμμάτων αναλύονται για θέματα ευπάθειας που σχετίζονται με την ασφάλεια. Οι καθορισμένες περιπτώσεις χρήσης και τα επιχειρηματικά σενάρια χρησιμοποιούνται επίσης για τη διενέργεια δυναμικής ανάλυσης κώδικα.
Αυτή η δραστηριότητα εκτελείται στο Δοκιμές κατασκευών χρησιμοποιώντας διάφορα εργαλεία ασφαλείας με αυτοματοποιημένη και χειροκίνητη προσέγγιση.
- Τα εργαλεία HP WebInspect, Burp Suite, ZAP και SOAP UI χρησιμοποιούνται γενικά για τον έλεγχο ευπάθειας έναντι τυπικών βάσεων δεδομένων ευπάθειας ( Παράδειγμα: Κορυφαία 10 OWASP )
- Ωστόσο, αυτή η δραστηριότητα είναι κυρίως αυτοματοποιημένη, λόγω ορισμένων περιορισμών εργαλείων, ενδέχεται να απαιτείται κάποια χειροκίνητη εργασία για τη δημιουργία ψευδών θετικών.
- Αυτό γίνεται ιδανικά σε ξεχωριστό περιβάλλον (System Testing Environment), όπου αναπτύσσεται το λογισμικό που είναι έτοιμο για δοκιμή.
- Οι ευπάθειες πρέπει να αυξηθούν και να κλείσουν με τους προτεινόμενους μετριασμούς.
Τα τυπικά μοτίβα απειλών που εντοπίστηκαν κατά τη διάρκεια αυτής της ανάλυσης σχετίζονται με την επικύρωση εισαγωγής, τη σπασμένη πιστοποίηση και τη διαχείριση περιόδων σύνδεσης, την έκθεση ευαίσθητων δεδομένων, το XSS και τη διαχείριση κωδικών πρόσβασης.
Δείγματα σεναρίων δοκιμής περιλαμβάνουν,
- Διαχείριση κωδικού πρόσβασης: Για να βεβαιωθείτε ότι οι κωδικοί πρόσβασης δεν αποθηκεύονται σε απλό κείμενο στα αρχεία ρυθμίσεων ή οπουδήποτε στο σύστημα.
- Διαρροή πληροφοριών συστήματος: Για να διασφαλιστεί ότι οι πληροφορίες συστήματος δεν θα διαρρεύσουν σε κανένα σημείο, οι πληροφορίες που αποκαλύπτονται από το printStackTrace θα μπορούσαν να βοηθήσουν τον αντίπαλο από ένα σχέδιο επίθεσης.
# 6) Δοκιμή - Φάση πριν από την ανάπτυξη
Δοκιμή διείσδυσης Σύντομη δοκιμή πένας και Infra VAPT (Ανάλυση ευπάθειας και δοκιμή διείσδυσης) , είναι το πλήρες ολιστικό τεστ με πλήρης λύση και διαμορφώσεις (συμπεριλαμβανομένου του δικτύου) που γίνεται ιδανικά σε περιβάλλον προπαραγωγής ή παραγωγής.
Αυτό γίνεται κυρίως για τον εντοπισμό των ευπαθειών DB και των ευπαθειών διακομιστών μαζί με άλλες ευπάθειες. Αυτό είναι το τελευταίο στάδιο του ελέγχου ασφαλείας που θα διεξαχθεί. Ως εκ τούτου, αυτό περιλαμβάνει επίσης την επαλήθευση παλαιότερων αναφερόμενων ελαττωμάτων και κινδύνων.
- Εργαλεία όπως το Nessus, το Nmap, το HP Web Inspect, το Burp Suite, το ZAP που διατίθενται στην αγορά χρησιμοποιούνται για τη διεξαγωγή δοκιμών πένας.
- Η σάρωση εφαρμογών ιστού χρησιμοποιώντας αυτοματοποιημένα εργαλεία και εκμετάλλευση για περαιτέρω επαλήθευση γίνεται κατά τη διάρκεια αυτής της δοκιμής. Ο έλεγχος γίνεται για την προσομοίωση της συμπεριφοράς του πραγματικού επιτιθέμενου και ως εκ τούτου μπορεί να περιλαμβάνει και μερικές αρνητικές δοκιμές.
- Ευπάθεια υποδομής Η αξιολόγηση περιλαμβάνει σάρωση, ανάλυση και έλεγχο διαμόρφωσης ασφάλειας της υποδομής (δίκτυα, συστήματα και διακομιστές) για τον εντοπισμό των τρωτών σημείων και τον έλεγχο της ανθεκτικότητας έναντι των στοχευμένων επιθέσεων.
- Αυτό πραγματοποιείται σε περιβάλλον προπαραγωγής ή παραγωγής, όπου το λογισμικό, το οποίο είναι έτοιμο να αναπτυχθεί δοκιμάζεται και ως εκ τούτου προσομοιώνει το περιβάλλον σε πραγματικό χρόνο.
- Οι ευπάθειες αναγνωρίζονται χρησιμοποιώντας τόσο σαρωτές όσο και χειροκίνητες τεχνικές για την εξάλειψη ψευδών θετικών. Επίσης, σενάρια σε πραγματικό χρόνο θα πραγματοποιούνται κατά τη διάρκεια μη αυτόματων δοκιμών.
- Θα εκπονηθεί μια τελική έκθεση για ολόκληρη την Ανάλυση Ασφαλείας που πραγματοποιείται για ολόκληρο το πρόγραμμα, στην οποία θα επισημαίνεται η κατάσταση των στοιχείων υψηλού κινδύνου, εάν υπάρχουν.
Δείγματα σεναρίων δοκιμής περιλαμβάνουν,
- Για να διασφαλιστεί ότι οι ευάλωτες μέθοδοι HTTP δεν είναι ενεργοποιημένες.
- Για να διασφαλιστεί ότι οι ευαίσθητες πληροφορίες των άλλων χρηστών δεν είναι ορατές σε σαφές κείμενο μέσω του δικτύου.
- Για να διασφαλιστεί η εφαρμογή επικύρωσης για τη Μεταφόρτωση αρχείων για να αποφευχθεί η αποστολή κακόβουλου αρχείου.
Περίληψη πίνακα για SSDLC
Ο παρακάτω πίνακας συνοψίζει τις διάφορες πτυχές της ανάλυσης ασφάλειας που εξηγούνται παραπάνω.
Φάση SDLC | Η βασική ανάλυση έγινε | Τι ακριβώς γίνεται σε αυτές τις αξιολογήσεις | Εισαγωγή | Εργαλεία που χρησιμοποιούνται | Παραγωγή |
---|---|---|---|---|---|
Απαιτήσεις | Για να βεβαιωθείτε ότι οι απαιτήσεις ασφαλείας καταγράφονται αποτελεσματικά. | Οι απαιτήσεις αναλύονται. | Έγγραφα Απαιτήσεων / Ιστορίες χρηστών / Χαρακτηριστικά | Εγχειρίδιο | Οι απαιτήσεις ασφαλείας ενσωματώνονται στις προδιαγραφές απαιτήσεων. |
Σχεδίαση | Ομάδα ασφαλείας που θα συσταθεί Η στρατηγική δοκιμής ασφάλειας προετοιμάστηκε. | Η ομάδα προσδιορίστηκε και δημιουργήθηκε. Η στρατηγική εκπονήθηκε, αναθεωρήθηκε και εγκρίθηκε με τους ενδιαφερόμενους | Μηδέν | Εγχειρίδιο | Ρύθμιση ομάδας ασφαλείας με καθορισμένα RnR και RACI. Έγινε αποσύνδεση του εγγράφου στρατηγικής δοκιμής ασφαλείας. |
Σχέδιο | Εκτίμηση κινδύνου ασφάλειας | Επανεξέταση των εγγράφων που σχετίζονται με το πρόγραμμα για τον εντοπισμό των ελαττωμάτων ασφαλείας. Συζήτηση με την ομάδα. Οι κίνδυνοι εντοπίζονται και οι μετριασμοί προτείνονται. | Έγγραφα σχετικά με το έργο: HLDD, LLDD. | Μη αυτόματη αναθεώρηση | Αναγνωρισμένοι κίνδυνοι σχεδιασμού. Πίνακας διαχείρισης κινδύνου με προτεινόμενους μετριασμούς. |
Ανάπτυξη | Ανάλυση ασφαλούς κώδικα (στατική αξιολόγηση) | Οι σαρωτές ασφαλείας είναι συνδεδεμένοι στα μηχανήματα του προγραμματιστή. Εργαλείο ασφαλείας ενσωματωμένο στο πρότυπο κατασκευής. | Αναπτυγμένος κώδικας | Αυτοματοποιήστε σαρωτές (Fortify). Χειροκίνητη διαδρομή ψευδών θετικών. | Ασφαλή ελαττώματα κώδικα. Πίνακας διαχείρισης κινδύνων με μετριασμούς. |
Εκτέλεση | Δυναμική ανάλυση κώδικα (Δυναμική αξιολόγηση) | Ο έλεγχος ασφαλείας της εφαρμογής ολοκληρώθηκε. | Μονάδα δοκιμασμένη κατασκευή Αφιερωμένο περιβάλλον δοκιμών | Εργαλεία δοκιμών ασφαλείας (HP WebInspect, Burp Σουίτα, ZAP Χειροκίνητη δοκιμή ψευδών θετικών. | Ελαττώματα δυναμικής ανάλυσης κώδικα. Πίνακας διαχείρισης κινδύνων με μετριασμούς. |
Δοκιμή / Προ-Ανάπτυξη | Δοκιμή στυλό, Υπέρυθρο VAPT | Δοκιμή διείσδυσης και Infra VAPT χρησιμοποιώντας σενάρια σε πραγματικό χρόνο. Επαλήθευση προηγούμενων αναφερόμενων κινδύνων / ελαττωμάτων. | Έτοιμο για ανάπτυξη build. Προπαραγωγή ή παραγωγή όπως το περιβάλλον. | Εργαλεία δοκιμών ασφαλείας (Nessus, NMAP, HP WebInspect) Χειροκίνητη διαδρομή ψευδών θετικών. | Πίνακας διαχείρισης κινδύνων με μετριασμούς. Τελική έκθεση ελέγχου ασφαλείας με την κατάσταση κινδύνου. |
συμπέρασμα
Έτσι, με την εφαρμογή όλων αυτών των πτυχών που σχετίζονται με την ασφάλεια ενσωματωμένες στις διάφορες φάσεις του SDLC βοηθάει τον οργανισμό να εντοπίσει τα ελαττώματα ασφαλείας νωρίς στον κύκλο και επιτρέπει στον οργανισμό να εφαρμόσει κατάλληλους μετριασμούς, αποφεύγοντας έτσι Ελαττώματα ασφαλείας υψηλού κινδύνου στο ζωντανό σύστημα.
Η μελέτη δείχνει επίσης ότι η πλειονότητα των ελαττωμάτων ασφαλείας προκαλούνται στο λογισμικό κατά το στάδιο ανάπτυξης, δηλαδή κατά τη διάρκεια του Φάση κωδικοποίησης , όπου η κωδικοποίηση δεν έχει φροντίσει επαρκώς για όλες τις πτυχές ασφαλείας, για οποιονδήποτε λόγο.
Στην ιδανική περίπτωση, κανένας προγραμματιστής δεν θα ήθελε να γράψει έναν κακό κώδικα που θέτει σε κίνδυνο την ασφάλεια. Έτσι, προκειμένου να καθοδηγήσουν τους προγραμματιστές σχετικά με τον τρόπο σύνταξης ενός Ασφαλούς Λογισμικού, το επερχόμενο σεμινάριο καλύπτει Βέλτιστες πρακτικές και οδηγίες κωδικοποίησης για προγραμματιστές, για την εξασφάλιση καλύτερης ασφάλειας του λογισμικού.
Ελπίζουμε ότι αυτό το σεμινάριο για το Secure SDLC ή το SSDLC ήταν χρήσιμο !!
Συνιστώμενη ανάγνωση
- SDLC (Κύκλος Ζωής Ανάπτυξης Λογισμικού) Φάσεις, Μεθοδολογίες, Διαδικασίες και Μοντέλα
- 10 καλύτερα εργαλεία δοκιμής ασφαλείας για φορητές εφαρμογές το 2021
- 19 Ισχυρά εργαλεία δοκιμής διείσδυσης που χρησιμοποιήθηκαν από τους επαγγελματίες το 2021
- Οδηγίες δοκιμής ασφάλειας εφαρμογών για κινητά
- Δοκιμή ασφάλειας δικτύου και καλύτερα εργαλεία ασφάλειας δικτύου
- Δοκιμή ασφαλείας (Ένας πλήρης οδηγός)
- Top 4 Εργαλεία δοκιμής ασφαλείας ανοιχτού κώδικα για να δοκιμάσετε την εφαρμογή Ιστού
- Οδηγός δοκιμών ασφάλειας εφαρμογών Ιστού