Bezpečný vývoj software (SSDLC)

Pokud není bezpečnost integrální součástí životního cyklu vývoje vašeho softwaru, pak běžně dochází ke vzniku bezpečnostních zranitelností a děr. Dodatečná řešení bezpečnosti na konci vývoje zpravidla generují další náklady. 

Vyvíjíte aplikace pro sebe nebo své klienty a chtěli byste jim nabídnout bezpečnější produkt? Klíč k bezpečným aplikacím neleží ve větším počtu penetračních testů, ale je ukrytý ve vašem vývojovém procesu. Pouze dobře navržený, měřitelný a opakovatelný proces zajistí vysokou a trvale udržitelnou bezpečnost vašich aplikací.

Zavedení metodiky bezpečného vývoje, která definuje bezpečnostní aktivity, role a požadavky od začátku do konce vývojového cyklu je osvědčeným způsobem, jak toho dosáhnout. Ať už o zavedení SSDLC metodiky teprve uvažujete nebo jste již podnikli konkrétní kroky, my vám nabízíme vytvoření a zavedení metodiky respektující specifika vaší organizace.  

Maturity Assessment
Provedeme analýzu vašeho procesu vývoje aplikací a vytvoříme přehledný report. 

Tvorba SSDLC metodiky
Navrhneme SSDLC metodiku adresující potřeby a nedostatky vašeho vývoje.  

Projektová dokumentace
Používejte v projektech rychlé a přehledné šablony bezpečnostních artefaktů.  

Auditní cyklus aplikací
Nastavte pro každý projekt auditní cyklus odpovídající business riziku vyvíjené aplikace.  

Security Awareness Program
Vzdělávejte své zaměstnance systematicky v oblasti bezpečnosti za pomoci školení a e-learningů. 

Pilotní projekt
Na skutečném projektu vám ukážeme využití metodiky. 

Každá organizace má jedinečnou kulturu, způsob řízení a nastavení rolí. Aby vaši zaměstnanci SSDLC metodiku přijali, měla by co nejvíce respektovat specifika organizace. V opačném případě hrozí postupné odchýlení od metodiky nebo její zavržení ze strany vývojových týmů. Námi vytvořená metodika usiluje o plynulou integraci bezpečnostních principů a požadavků do vaší organizace a způsobu řízení projektů.

Nemusíte projít náročnou reorganizací procesů nebo rolí, ale rozšíříte kompetence a znalosti příslušných týmů, formalizujete činnosti a dáte jim nové nástroje pro řízení bezpečnosti během vývoje aplikací. Zároveň získáte lepší přehled o stavu projektů díky zavedení nových metrik a důsledného reportingu.  

Jistě jste už slyšeli, že náklady na odstranění zranitelnosti nalezené v rané fázi vývoje jsou nižší než náklady na odstranění zranitelnosti nalezené v produkci. V souladu s touto poučkou usiluje většina organizací o zapojení bezpečnosti co nejdříve ve vývojovém cyklu, ale mnoho z nich neumí dále pracovat s bezpečnostními požadavky stejným způsobem jako s funkčními požadavky. Zejména je nedokáží implementovat v souladu se standardy bezpečného vývoje a otestovat pomocí vhodných testovacích scénářů.

Naše metodika pracuje s požadavky od identifikace rizik a výběru požadavků až po jejich finální testování.  

Pokud se nevymykáte dostupným statistikám, pak většinu kódu vašich aplikací tvoří znovupoužitelný kód třetích stran, knihoven, frameworků nebo kód vytvořený vašimi dodavateli. Vaše kontrola nad vznikem tohoto kódu je omezená, ale případná zranitelnost v tomto kódu ohrozí vaši aplikaci stejně jako zranitelnost vámi vyvinutého kódu.

O to důležitější je výběr bezpečných komponent, sledování známých zranitelností a kontrola nad dodavateli. Vyžadujte od svých dodavatelů certifikaci bezpečnosti jejich vývojového cyklu, nebo přesvědčte vaše partery o bezpečnosti vašeho vývoje předložením certifikátu.

Důležitým aspektem SSDLC metodiky je neustálé zvyšování povědomí o zranitelnostech a metodách bezpečného vývoje. Nezapomeňte systematicky zvyšovat kvalifikaci vašich zaměstnanců pomocí našich školení a interaktivních e-learningů.