Соответствие требованиям

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

AppSec Table Top: методология безопасной разработки от Positive Technologies

Framework

Управление изменениями

Для проведения оценки соответствия по документу войдите в систему.

Список требований

MainStageSDL
Процесс: Разработка
Практика: Управление изменениями
Инициатива: Система контроля версий
Описание:
Контроль версий — это практика отслеживания изменений в коде, которая облегчает командную работу над проектом, снижает риск потери данных и обеспечивает возможность вернуться к предыдущим версиям кода. Системы контроля версий (например, git) позволяют сохранять историю изменений кода, создавать ветки для разработки новых функций или исправления ошибок, а также сливать изменения из разных веток в основную.
Контроль версий является основой для CI/CD-конвейера [TP3], так как он позволяет автоматизировать процесс сборки и развертывания приложений.
Ключевые аспекты настройки системы контроля версий:
- Механизмы изменения кода: правила и процессы внесения изменений в код, например, использование коммитов, pull-requests, ревью кода [SPA2].
- Ветвление: стратегия ветвления, определяющая способы создания новых веток для разработки новых функций или исправления ошибок.
- Правила слияния версий: правила слияния изменений из разных веток, например, использование pull-requests и ревью кода.
- Настройка контроля версий в соответствии с требованиями ИБ к ПО [TMR4].
Шаги реализации:
1. Проанализировать требования к системе контроля версий, учитывая размер проекта, количество разработчиков, интеграции с другими инструментами и т. д.
2. Выбрать систему контроля версий, которая лучше всего соответствует требованиям приложения.
3. Создать репозиторий в выбранной системе контроля версий для хранения кода проекта.
4. Разработать стратегию ветвления, определяющую способы создания новых веток для разработки функций или исправления ошибок.
5. Установить правила слияния изменений из разных веток.
6. Настроить систему контроля версий в соответствии с требованиями ИБ.
7. Создать документацию по использованию системы контроля версий, включая описание процессов работы, правил ветвления и слияния.
8. Довести документацию до сотрудников и разместить на внутреннем портале.
Зона ответственности: ИТ
Инструмент: VCS
Артефакт: Артефакты процесса разработки. Регламент безопасного кодирования
Инициатива: Организация распределенного рабочего процесса
Описание:
Распределенный рабочий процесс — это модель разработки, которая использует несколько репозиториев для хранения кода проекта. В отличие от централизованных систем контроля версий, где все разработчики работают с одним центральным репозиторием, распределенная модель позволяет каждому разработчику иметь полную копию репозитория на своем компьютере.
Это обеспечивает гибкость и независимость в работе, а также снижает риски, связанные с проблемами связи или некорректной синхронизацией работ. Каждый разработчик может работать над своей веткой кода и вносить изменения без опасения повлиять на работу других членов команды.
При использовании распределенного рабочего процесса необходимо определить роли сотрудников и права доступа к репозиториям. Важно также установить четкие правила ветвления и слияния кода [GF1], чтобы обеспечить координацию работ и сохранение целостности кода проекта.
Шаги реализации:
1. Изучить документацию по использованию контроля версий и процессам разработки.
2. Определить роли сотрудников (разработчики, тестировщики, менеджеры) и их права доступа к репозиториям (чтение, запись, управление).
3. Настроить распределенную модель контроля версий с учетом определенных ролей, прав доступа, правил ветвления и слияния кода.
4. Дополнить документацию по использованию системы контроля версий правилам работы в распределенной модели.
5. Довести документацию до сотрудников и разместить на внутреннем портале.
Зона ответственности: ИТ
Инструмент: VCS
Артефакт: Артефакты процесса разработки. Регламент безопасного кодирования

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.