大胆的数据

加强网络安全的敏捷开发 10 项原则

当今竞争激烈的环境要求企业更快地行动、更多地创新。因此,超过 80% 的公司采用敏捷开发方法。然而,如果管理软件周期的过程不安全,“快速开发”就会给网络犯罪分子带来多种利用机会。

ⓒ 盖蒂图片银行

敏捷开发重视速度、协作、沟通和交互。企业如何让敏捷开发更安全?我们来看看信息安全论坛(ISF)推荐的10条原则。

1. 定义角色和职责
负责领导敏捷项目的高级领导者必须明确定义安全活动的职责和角色。这包括建立项目管理活动,例如升级协议、所需的会议、向安全团队报告项目状态以及正式和非正式的报告渠道。这使您能够将安全性集成到敏捷应用程序开发流程中,同时促进 IT 和安全团队之间的承诺、责任和建设性关系。

 投资于技能和培训

安全是一项团队运每个开发人员都必须做好自己的工作,以确保代码中不存在安全漏洞。开发人员可能对安全问题缺乏了解或理解,并且倾向于将软件 科威特号码数据 部署置于安全之上。为了增强开发人员的能力,公司必须投资于辅导、指导和技能提升。这包括提供安全培训和意识课程、高级开发人员的指导、专门的敏捷安全培训活动以及访问免费资源,例如OWAST、常见弱点枚举 (CWE)、构建安全成熟度模型 (BSIMM)、SAFECode和 CERT。 。

3. 应用信息风险管理流程
在打开和烘烤蛋糕之前,一开始就考虑安全性,而不是在蛋糕从烤箱中出来后添加一些东西,这样更便宜、更有效。应建立流程来帮助管理整个开发周期的信息风险。

这包括从安全角度就高级应用程序架构达成一致,确定“安全关键”应用程序和功能列表,进行业务影响评估,在早期阶段进行信息风险和漏洞评估,以及报告新确定的流程风险。公司必须就谁拥有信息风险提供指导,定义风险审查流程,并确定如何制定风险管理决策。

明确安全要求

科威特号码数据

以各种格式清晰表达安全需求,例如用户故事、软件需求定义、故事映射、线框图、角色和用例。开发人员可以更好地理解、定义和实施安全文档。这使得安全需求可以被视为产品待办事项中的功能需求,转换(分解)为任务,集成到需求管理工具中,并包含在 项目的生产力指标中。

5. 执行威胁建模
应定期进行威胁建模练习,以了解应 大胆的数据 用程序的安全上下文。威胁建模练习的目的是发现不安全的设计方面,识别/分析/确定威胁的优先级,并识别用于攻击应用程序的最常见技术和方法(欺骗、篡改、拒绝服务、权限升级)。例如,识别哪些威胁需要额外的安全测试。最重要的是制定策略和解决方案来主动缓解每种威胁。

6. 使用安全编程技术
强制使用已建立的安全编程技术,例如结对编程、重构、CI/CD、同行评审、安全迭代和测试驱动开发。这提高了应用程序代码的非功能质量,并消除了可能在未来被利用的安全漏洞的编程缺陷。安全编程技能对于指导安全方法经验有限的开发人员、使用人工智能和低代码/无代码等新技术、开发复杂应用程序的各个方面、集成第三方应用程序以及维护法规遵从性也很有用。你满足你的要求。

7. 进行独立的安全审查
让独立审阅者执行静态代码分析(审阅源代码以分析应用程序代码中的错误、错误和漏洞)和动态分析(检查执行期间的应用程序行为以识别不常见或意外的行为)。然后,利益相关者可以相信应用程序满足安全要求并且不存在任何其他安全漏洞。

8.自动化安全测试
安全团队不可能手动执行和评估所有重复性任务。因此,有必要不断检查应用程序代码中的缺陷和漏洞,一致且系统地执行补充相关任务,分析安全事件,并引入自动化以减轻安全团队和开发人员的负担。然而,并不是所有事情都可以自动化,自动化并不能完全取代手动测试。例如,需要人工审查来识别逻辑缺陷。

9. 将安全纳入您的验收标准
应创建、共享和维护一套标准的安全许可标准。标准还包括是否对应用程序代码进行了独立审查、是否已完成安全测试、集成到应用程序中的代码部分是否可维护/可追踪、是否由可信来源验证以及是否已成功满足迭代积压的要求。确保识别所有缺陷(包括安全漏洞),并识别/批准所有影响安全的设计变更。这些标准有助于减少技术债务,为利益相关者提供信心,并确保在部署应用程序代码之前完全满足批准标准。

10. 评估您的安全绩效
敏捷项目通常涉及对安全性能的有限评估。这使得公司很难确保其应用程序的安全性满足业务需求。因此,公司根据商定的 KPI 指标来监控和评估适当的安全指标非常重要。安全指标包括类型、数量、漏洞安全级别、独立测试结果、批准和未经授权偏离安全策略的数量、无安全漏洞事件的期限以及其他缺陷清除指标。

如果企业的开发环境敏捷,信息安全也必须跟着敏捷。这就是为什么我们建议所有公司遵循上面介绍的 10 条原则和最佳实践。安全的成功取决于所有成员(包括开发人员、项目经理和管理团队)之间的合作和承诺水平。安全流程必须像编码一样快速迭代和改进,以提供更好的应用程序安全性和对行业产生影响的变革。

加强网络安全的敏捷开发 10 项原则

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

滾動到頂部