Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
Соответствие требованиям
Соответствие требованиям AppSec Table Top: методология... Хранилище доверенных артефакто...
Группы документов Все документы
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

AppSec Table Top: методология безопасной разработки от Positive Technologies

Framework

Хранилище доверенных артефактов

Для проведения оценки соответствия по документу войдите в систему.

Список требований

  • MainStageSDL
  • Процесс: Разработка
  • Практика: Использование безопасных компонент
  • Инициатива: Хранилище доверенных артефактов
    Описание:
    Перечень доверенных компонентов формируется на основе проверки внешних компонент [    OSS1] и (или) глубокого анализа уже используемых надежных артефактов. Это позволяет упростить поиск и проверку необходимых артефактов и минимизировать риск попадания уязвимостей в контур разработки. 
    Такой подход подразумевает:
    • Создание списка доверенных компонент: в список включаются только те компоненты, которые прошли проверку на безопасность с помощью OSA или ранее зарекомендовали себя как надежные.
    • Использование только доверенных компонент: разработчики должны использовать только те внешние компоненты, которые прошли проверку безопасности и содержатся в хранилище. 
    •  Строгий контроль новых компонент: добавление новых компонент в список доверенных осуществляется только после того, как они прошли проксирование через OSA и были признаны безопасными.
    Шаги реализации:
    1. Определить четкие критерии доверия.
    2. На основе критериев создать список доверенных артефактов (через политики безопасности OSA или ручной анализ). 
    3. Использовать артефакты из хранилища доверенных компонент в рамках CI/CD-пайплайна.
    4. Добавлять в хранилище компоненты, успешно прошедшие проверку OSA и признанные безопасными.
    5. Регулярно обновлять список доверенных компонент, учитывая изменения в критериях доверия, обнаружение новых уязвимостей и выход новых версий компонент.
    6. Ввести правило использования только одобренных компонент из хранилища. 
    7. Задокументировать процесс формирования списка доверенных компонент, критерии доверия и правила использования. 
    8. Довести регламент до сотрудников и разместить на внутреннем портале.
    Зона ответственности: Appsec/ИТ
    Инструмент: Repository Manager
    Артефакт: Регламент безопасной разработки
Название Severity IP Integral
1111111 111 11 1111 11111111111111111 1111111 1 11111111111111111
 - 
1
 - 
11 111111111 111 1111111111111111111111111 1111 1 11111 1111111
 - 
1
 - 

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.