Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
Соответствие требованиям
Соответствие требованиям AppSec Table Top: методология... Оркестрация SAST
Группы документов Все документы
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

AppSec Table Top: методология безопасной разработки от Positive Technologies

Framework

Оркестрация SAST

Для проведения оценки соответствия по документу войдите в систему.

Список требований

  • MainStageSDL
  • Процесс: Разработка
  • Практика: Статический анализ кода
  • Инициатива: Оркестрация SAST
    Описание:
    Оркестратор позволяет автоматизировать и централизовать запуск всех инструментальных практик безопасной разработки, предоставляя единый интерфейс для управления и удобный доступ к найденным дефектам [    VM1]. Это позволяет упростить процесс и создать единый «пункт управления» для всех инструментов безопасности. Кроме того, многие решения ASOC (Application Security Orchestration and Correlation) позволяют собирать метрики о работе инструментов [RM3], что помогает оценивать эффективность и повышать качество безопасности приложений.
    Шаги реализации:
    1. Провести анализ текущих инструментов безопасной разработки, их функциональности, интеграционных возможностей и существующих проблем.
    2. Определить ключевые задачи, которые должен решать оркестратор: автоматизация запуска, централизованный доступ к результатам, создание отчетов, интеграция с системами CI/CD.
    3. Выбрать наиболее подходящий инструмент ASOC с учетом функциональности, интеграции с существующими технологическим стеком и инструментами безопасной разработки, стоимости и соответствия требованиям.
    4. Провести пилотирование выбранного инструмента, чтобы оценить его эффективность, удобство использования, соответствие требованиям. 
    5. Определить сотрудников, ответственных за внедрение, работу с инструментом и разбор результатов.
    6. Установить выбранный оркестратор и настроить интеграцию с инструментами безопасной разработки. 
    7. Создать правила и политики для автоматизации запуска инструментов.
    8. Интегрировать ASOC в CI/CD-пайплайн и определить тригеры для запуска инструментов. 
    9. Интегрировать ASOC с средствами разработки: Git, репозитории, артефактории и т. д.
    10. Настроить систему сбора и анализа данных о работе инструментов и результатах сканирования.
    11. Создать документацию по работе с инструментом, дополнить регламент безопасной разработки. 
    12. Довести документацию до сотрудников и разместить на внутреннем портале.
    Зона ответственности: Appsec/ИТ
    Инструмент: SAST, ASOC
    Артефакт: Регламент безопасной разработки
Название Severity IP Integral
1111111 111 11 1111 11111111111111111 1111111 1 11111111111111111
 - 
1
 - 
11 111111111 111 1111111111111111111111111 1111 1 11111 1111111
 - 
1
 - 

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.