Secure Development SDLC

Säker SDLC

Secure Development och Cybersäkerhet har alltid varit viktig i system som kan nås från en fysiskt kontrollerad miljö. Vad vi nu ser är att säkerhet – drivet av teknologier som IoT, molnlösningar, öppna API och Big data – flyttar utanför den traditionella IT-miljön till de flesta tekniska system, eftersom dessa blir mer exponerade och integrerade. Säkerhet är numera en viktig fråga för de flesta utvecklingsorganisationer. De strävar efter att etablera en “Säker SDLC” (Secure Software Development Life Cycles).

Fördelarna med en väldefinierad Säker SDLC inkluderar:

Säkerhet behandlas systematiskt genom hela utvecklingen, vilket leder till bättre kvalitet och större säkerhet.
Kunder kan bekräfta att säkerhet tas på allvar.
Kostnadsbesparingar uppnås genom tidig upptäckte och lösning av problem.
Affärsrisker minskas för organisationen.

Uppgraderad utveckling

En Säker SDLC lägger till säkerhetsrelaterade aktiviteter till befintliga utvecklingsfaser tex:

Krav:

Hotmodellering och säkerhetskrav. Säkerhetskrav måste täcka aspekter som hur man undviker och upptäcker intrång, isolerar och begränsar påverkan av ett intrång samt hur man återhämtar sig från ett intrång.

Design och implementering:

Attackyta och sårbarhetsanalys, säkerhetsarkitektur, säkra designmönster och kodning. En granskning av säkerhetsarkitekturen med en checklista som OWASP Application Security Architecture Cheat Sheet rekommenderas.

Verifiering:

Penetrationstestning och fuzz-testning. Många organisationer använder externa penetrationstestningstjänster för att säkerställa att de får oberoende kvalificerad verifiering.

Leverans:

Säker konfiguration och validering av miljön. Idealiskt bör systemet automatiskt validera och övervaka miljön för att säkerställa att den tillhandahåller den nödvändiga säkerheten.

Nyckelfaktorer för Secure development

Den största utmaningen i att etablera en framgångsrik Säker SDLC är att integrera säkerhetsaktiviteter i den befintliga programvaruutvecklingsprocessen och organisationen. Komplexiteten kan verka överväldigande och ge intrycket att produktivitet och flexibilitet kommer att minskas. Ändå, om det görs på rätt sätt, kan de förbättra systemet genom bättre allmän kvalitet till en rimlig kostnad. Här är följer några rekommendationer:

Använd de offentligt tillgängliga Säker SDLC som inspiration. Integrera säkerhetsaktiviteter i organisationens befintliga utvecklingsprocess, eftersom den befintliga processen möter behoven men är svag när det gäller säkerhet.

Låt utvecklingsteamen och inte säkerhetsexperter hantera alla säkerhetsrelaterade aktiviteter. Det finns fortfarande ett behov av säkerhetsexperter, men de bör ge stöd snarare än att driva sina egna aktiviteter. OWASP tillhandahåller praktiska checklistor.

Utför säkerhetsaktiviteter vid rätt tidpunkt. Detta är allt viktigare och utmanande i takt med att vi går från traditionell vattenfallsutveckling till agil utveckling. Microsofts riktlinjer ger bra exempel på vilka aktiviteter som ska göras och när.

Säkerhet måste vara en del av utvecklingen av alla funktioner, inte bara specifika säkerhetsfunktioner. Eftersom alla buggar potentiellt kan ha säkerhetsimplikationer är den positiva effekten en övergripande ökning av kodkvaliteten.