Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
Соответствие требованиям
Соответствие требованиям AppSec Table Top: методология... SAST в пайплайне
Группы документов Все документы
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

AppSec Table Top: методология безопасной разработки от Positive Technologies

Framework

SAST в пайплайне

Для проведения оценки соответствия по документу войдите в систему.

Список требований

  • MainStageSDL
  • Процесс: Разработка
  • Практика: Статический анализ кода
  • Инициатива: SAST в пайплайне
    Описание:
    Для достижения максимальной эффективности работы SAST недостаточно пилотирования или непоследовательного использования инструмента в формате отдельных выборочных проверок [    SPA3]. Необходимо интегрировать SAST-инструмент в CI/CD-конвейер в качестве обязательного этапа пайплайна.
    Автоматизация проверок SAST позволит сэкономить время сотрудников, гарантируя выполнение этого этапа тестирования при каждом релизе [PA3] и тем самым способствуя тиражированию стратегии [SSDL4]. Дополнительно к этому, использование Quality Gate [VC1] позволит задать четкие критерии качества кода, которые должны быть выполнены перед релизом, что поможет избежать выпуска уязвимого ПО в продакшн.
    Шаги реализации:
    1. Добавить SAST-инструмент как обязательный шаг в CI/CD-конвейер.
    2. Определить триггеры для запуска SAST-инструмента: например, после каждого коммита в репозиторий или перед развертыванием.
    3. Установить правила и пороговые значения для SAST-анализа: например, уровень серьезности уязвимостей, которые должны быть исправлены.
    4. Внедрить Quality Gate в CI/CD пайплайн для оповещений при выявлении критических уязвимостей.
    5. Связать инструмент SAST с дефект-трекером для автоматического создания задач по исправлению уязвимостей.
    6. Установить SLA на устранение дефектов.
    7. Дополнить регламент работы с инструментом (или регламент безопасной разработки).
    8. Довести регламент до сотрудников и разместить на внутреннем портале.
    9. На более зрелом этапе развития перевести QG из режима оповещений в режим блокировки.
    Зона ответственности: Appsec/ИТ
    Инструмент: SAST, CI/CD
    Артефакт: Регламент безопасной разработки
Название Severity IP Integral
1111111 111 11 1111 11111111111111111 1111111 1 11111111111111111
 - 
1
 - 
11 111111111 111 1111111111111111111111111 1111 1 11111 1111111
 - 
1
 - 

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.