إنشاء وصيانة عملية لقبول ومعالجة ثغرات البرمجيات
الوصف
إنشاء وصيانة عملية لقبول ومعالجة تقارير ثغرات البرمجيات، بما في ذلك توفير وسيلة للأطراف الخارجية للإبلاغ عنها.
قائمة التحقق من التطبيق
توصيات الأدوات
منصة أمان التطبيقات مع اختبار الأمان الثابت والديناميكي وتحليل تكوين البرمجيات وتدريب المطورين على التطوير الآمن للبرمجيات
Veracode · اشتراك لكل تطبيق
منصة سحابية أصلية لأمان التطبيقات مع اختبار الأمان الثابت وتحليل تكوين البرمجيات واختبار الأمان الديناميكي وأمان واجهات برمجة التطبيقات واختبار أمان سلسلة التوريد
Checkmarx · اشتراك لكل مطور
أمان تطبيقات يركز على المطور مع تحليل تكوين البرمجيات وفحص الحاويات وأمان البنية التحتية كرمز واختبار الأمان الثابت المتكامل في خطوط التسليم المستمر
Snyk · اشتراك لكل مطور
التهديدات والثغرات (CIS RAM)
سيناريوهات التهديد
كشف علني عن ثغرة في تطبيق مخصص يبقى بدون معالجة
السريةيكشف باحث أمني علنياً عن ثغرة في تطبيق المؤسسة بعد فشل محاولات الكشف المسؤول لأنه لا توجد عملية لاستقبال وفرز تقارير الثغرات.
استغلال يوم صفر يستهدف عيب تطبيق لم يُبلّغ عنه
السلامةيكتشف مهاجم ويستغل ثغرة أبلغ عنها مستخدم لكنها لم تُعالج أبداً لأن المؤسسة ليس لديها آلية استقبال لتقارير الثغرات.
الثغرات (عند غياب الإجراء الوقائي)
عدم وجود عملية استقبال ومعالجة الثغرات
بدون عملية لقبول ومعالجة تقارير ثغرات البرمجيات، لا تستطيع المؤسسة استقبال أو فرز أو معالجة العيوب المُبلّغ عنها، تاركة الثغرات المعروفة دون تصحيح.
عدم وجود آلية إبلاغ عن الثغرات خارجية
يعني غياب قناة عامة للباحثين الخارجيين للإبلاغ عن الثغرات أن المؤسسة تفتقد تحذيرات مبكرة حول عيوب قابلة للاستغلال في تطبيقاتها.
متطلبات الأدلة
| النوع | عنصر الدليل | تكرار الجمع |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |