Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
Соответствие требованиям
Соответствие требованиям AppSec Table Top: методология... Quality Gates
Группы документов Все документы
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

AppSec Table Top: методология безопасной разработки от Positive Technologies

Framework

Quality Gates

Для проведения оценки соответствия по документу войдите в систему.

Список требований

  • MainStageSDL
  • Процесс: Тестирование
  • Практика: Проверка соответствия требованиям ИБ
  • Инициатива: Quality Gates
    Описание:
    Quality Gates — это подход, позволяющий заранее настроить политики безопасности при прохождении инструментального сканирования [    SPA3], [SCA1], [DPA2]. Проверки QG происходят автоматически, при непрохождении по критериям качества политика срабатывает и оповещает сотрудников. 
    Если QG перевести в режим блокировки, то объект не будет пропущен на следующие этапы. Однако, чтобы не нарушить CI/CD процессы, на ранних стадиях внедрения рекомендуется использовать Quality Gates в режиме оповещений. Это позволит снизить количество уязвимостей, внесенных в промышленный контур и сохранить время разработчиков, снизив затраты на позднее исправление. 
    Шаги реализации:
    1. Определить цели и объекты проверки Quality Gates (безопасность, качество кода, производительность, соответствие стандартам).
    2. Установить конкретные критерии для каждого типа проверки. 
    3. В CI/CD-конвейере создать правила QG, описывающие критерии качества и безопасности, которые должны быть удовлетворены до продолжения развертывания.
    4. Настроить систему оповещений, которая будет информировать разработчиков о несоответствии кода критериям QG.
    5. На ранних стадиях внедрения QG использовать их в режиме оповещений, чтобы разработчики могли исправить ошибки и несоответствия без прерывания CI/CD процессов.
    6. После установления необходимого уровня качества и безопасности перевести QG в режим блокировки, чтобы предотвратить развертывание несоответствующего кода.
    7. Анализировать результаты сканирования и отслеживать тенденции в качестве и безопасности кода.
    8. Задокументировать правила и критерии QG, ознакомить с ними сотрудников и разместить на внутреннем портале.
    9. Регулярно обновлять критерии QG в соответствии с изменениями в требованиях и политике безопасности.
    Зона ответственности: Appsec/ИТ
    Инструмент: SAST, DAST, SCA, CS, ASOC, CI/CD
    Артефакт: Регламент безопасной разработки
Название Severity IP Integral
1111111 111 11 1111 11111111111111111 1111111 1 11111111111111111
 - 
1
 - 
11 111111111 111 1111111111111111111111111 1111 1 11111 1111111
 - 
1
 - 

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.