Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
Соответствие требованиям
Соответствие требованиям AppSec Table Top: методология... Использование инструментов SCA
Группы документов Все документы
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

AppSec Table Top: методология безопасной разработки от Positive Technologies

Framework

Использование инструментов SCA

Для проведения оценки соответствия по документу войдите в систему.

Список требований

  • MainStageSDL
  • Процесс: Сборка
  • Практика: Компонентный анализ
  • Инициатива: Использование инструментов SCA
    Описание:
    Инструмент компонентного анализа (SCA) позволяет проверить все компоненты и внешние зависимости приложения на этапе сборки на предмет наличия уязвимостей. Для корректной проверки формируется SBOM-файл (Software Bill of Materials) [    SCA5] из исходного кода, в котором описываются все Open Source и другие сторонние компоненты, использующиеся в кодовой базе. 
    SBOM содержит информацию о версиях, лицензиях, уязвимостях, происхождении, дочерних зависимостях и других контекстных данных. Это позволяет идентифицировать уязвимые компоненты, проверить соблюдение лицензионных соглашений и управлять рисками, связанными с использованием сторонних компонент.
    Шаги реализации:
    1. Выбрать наиболее подходящий инструмент SCA с учетом функциональности, поддержки языков программирования и пакетных менеджеров, интеграции с существующими технологическим стеком, стоимости и соответствия требованиям.
    2. Провести пилотирование выбранного инструмента, чтобы оценить его эффективность, удобство использования, соответствие требованиям. 
    3. Определить сотрудников, ответственных за внедрение, работу с инструментом и разбор результатов.
    4. Установить и настроить инструмент SCA.
    5. Интегрировать SCA в ограниченном количестве проектов (для первичного анализа и проверки работы инструмента).
    6. Определить процессы разбора результатов: политики безопасности, исключения, периодичность проведения сканирования.
    7. Провести первичное сканирования в заранее определенных проектах.
    8. По результатам сканирования сформировать и разобрать технический долг.
    9. Разработать регламент работы с инструментом (или дополнить регламент безопасной разработки), в которым будут описаны концепция работы и преимущества инструмента, инструкции и материалы по его использованию и т. д. 
    10. Довести регламент до сотрудников и разместить на внутреннем портале.
    Зона ответственности: Appsec/ИТ
    Инструмент: OSA/SCA
    Артефакт: Регламент безопасной разработки
Название Severity IP Integral
1111111 111 11 1111 11111111111111111 1111111 1 11111111111111111
 - 
1
 - 
11 111111111 111 1111111111111111111111111 1111 1 11111 1111111
 - 
1
 - 

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.