إنشاء وصيانة عملية تطوير تطبيقات آمنة
الوصف
إنشاء وصيانة عملية تطوير تطبيقات آمنة. في العملية، معالجة أشياء مثل: معايير التصميم الآمن ومعايير البرمجة الآمنة ومعالجة المطورين لانتهاكات الأمان ومراجعة الكود و/أو إدارة التغيير.
قائمة التحقق من التطبيق
توصيات الأدوات
منصة أمان التطبيقات مع اختبار الأمان الثابت والديناميكي وتحليل تكوين البرمجيات وتدريب المطورين على التطوير الآمن للبرمجيات
Veracode · اشتراك لكل تطبيق
منصة سحابية أصلية لأمان التطبيقات مع اختبار الأمان الثابت وتحليل تكوين البرمجيات واختبار الأمان الديناميكي وأمان واجهات برمجة التطبيقات واختبار أمان سلسلة التوريد
Checkmarx · اشتراك لكل مطور
مجموعة اختبار أمان التطبيقات مع اختبار الأمان الثابت وتحليل تكوين البرمجيات واختبار الأمان الديناميكي لأمان تطبيقات شامل
Synopsys · اشتراك لكل مطور
التهديدات والثغرات (CIS RAM)
سيناريوهات التهديد
عيوب أمنية منهجية في التطبيقات المطورة داخلياً
السلامةتحتوي تطبيقات متعددة مطورة داخلياً على نفس فئات الثغرات مثل عيوب الحقن والمصادقة المكسورة لأنه لا توجد عملية تطوير آمنة تحدد معايير الترميز أو المتطلبات الأمنية.
دمج كود طرف ثالث معرض للخطر بدون مراجعة
السلامةيدمج المطورون مكتبات مفتوحة المصدر بثغرات حرجة معروفة في تطبيقات الإنتاج لأن عملية التطوير ليس لديها متطلبات لفحص أمان الكود الخارجي.
تجاوز الأمان لتلبية مواعيد الإصدار
السريةيتم تسريع التطبيقات إلى الإنتاج بدون أي اختبار أمني لأنه لا توجد عملية تطوير آمنة رسمية تفرض بوابات أمان في خط أنابيب الإصدار.
الثغرات (عند غياب الإجراء الوقائي)
عدم وجود دورة حياة تطوير برمجيات آمنة (SSDLC)
بدون عملية تطوير آمنة، لا توجد معايير محددة للتصميم الآمن وممارسات الترميز وإدارة الثغرات أو الاختبار الأمني، مما يؤدي إلى تطبيقات بنقاط ضعف أمنية منهجية.
عدم وجود متطلبات أمنية في خط أنابيب التطوير
يعني غياب عملية رسمية أن الاختبار الأمني ومراجعة الكود وتقييم الثغرات ليست مراحل مطلوبة في دورة حياة إصدار البرمجيات.
متطلبات الأدلة
| النوع | عنصر الدليل | تكرار الجمع |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |