Куда я попал?
AppSec Table Top: методология безопасной разработки от Positive Technologies
Framework
Проверка соответствия требованиям ИБ
Для проведения оценки соответствия по документу войдите в систему.
Список требований
-
Инициатива: Quality Gates
Описание:
Quality Gates — это подход, позволяющий заранее настроить политики безопасности при прохождении инструментального сканирования [SPA3], [SCA1], [DPA2]. Проверки QG происходят автоматически, при непрохождении по критериям качества политика срабатывает и оповещает сотрудников.
Если QG перевести в режим блокировки, то объект не будет пропущен на следующие этапы. Однако, чтобы не нарушить CI/CD процессы, на ранних стадиях внедрения рекомендуется использовать Quality Gates в режиме оповещений. Это позволит снизить количество уязвимостей, внесенных в промышленный контур и сохранить время разработчиков, снизив затраты на позднее исправление.
Шаги реализации:- Определить цели и объекты проверки Quality Gates (безопасность, качество кода, производительность, соответствие стандартам).
- Установить конкретные критерии для каждого типа проверки.
- В CI/CD-конвейере создать правила QG, описывающие критерии качества и безопасности, которые должны быть удовлетворены до продолжения развертывания.
- Настроить систему оповещений, которая будет информировать разработчиков о несоответствии кода критериям QG.
- На ранних стадиях внедрения QG использовать их в режиме оповещений, чтобы разработчики могли исправить ошибки и несоответствия без прерывания CI/CD процессов.
- После установления необходимого уровня качества и безопасности перевести QG в режим блокировки, чтобы предотвратить развертывание несоответствующего кода.
- Анализировать результаты сканирования и отслеживать тенденции в качестве и безопасности кода.
- Задокументировать правила и критерии QG, ознакомить с ними сотрудников и разместить на внутреннем портале.
- Регулярно обновлять критерии QG в соответствии с изменениями в требованиях и политике безопасности.
Зона ответственности: Appsec/ИТ
Инструмент: SAST, DAST, SCA, CS, ASOC, CI/CD
Артефакт: Регламент безопасной разработки -
Инициатива: Соответствие требованиям ИБ
Описание:
Перед релизом приложения в продуктовую среду необходимо убедиться, что оно не только соответствует функциональным требованиям [QA1], но и отвечает требованиям ИБ [TMR3]. Традиционно проверка соответствия требованиям ИБ осуществляется отдельно специалистами по ИБ или в рамках приемо-сдаточных мероприятий. Однако некоторые тесты можно проводить в рамках практик QA, что позволит увеличить эффективность и скорость проверки.
Шаги реализации:- Определить все ИБ-требования для приложения, включая политики безопасности, стандарты и регламенты.
- Создать тестовые кейсы для проверки соответствия приложения требованиям ИБ.
- Обеспечить возможность проверки требований другим способом для случаев, когда тест-кейсы неприменимы (например, орг. меры, аудиты и т. д.).
- Включить тесты для проверки механизмов безопасности.
- Добавить тестовые кейсы ИБ в существующие тестовые сценарии QA.
- Провести тестирование ИБ, изучить результаты тестирования.
- Сопоставить результаты с требованиями ИБ и определить какие из них выполнены, а какие — нет.
- Исправить ошибки и уязвимости в коде приложения в соответствии с результатами тестирования.
- Провести повторное тестирование ИБ, убедившись в выполнении всех требований.
- Задокументировать все найденные проблемы и решения.
- Дополнить документацию по тестированию используемыми инструментами и методами тестирования ИБ.
Зона ответственности: ИБ
Инструмент: -
Артефакт: Регламент тестирования
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.