Now Reading
Eine Blaupause für jedes den Lorbeeren dieser Softwaresicherheit

Eine Blaupause für jedes den Lorbeeren dieser Softwaresicherheit

Eine Blaupause für den Erfolg der Softwaresicherheit


Für jedes Sicherheitsteams in Unternehmen nach sich ziehen dasjenige beschleunigte Zeitmaß dieser Softwareentwicklung und die Verbreitung von Softwaresicherheitstools sowohl Kopfschmerzen wie Neben… Entwicklungsmöglichkeiten geschaffen. Die Studie Building Security In Maturity Model (BSIMM) zeigt, wie Unternehmen mit ausgereiften Sicherheitsprogrammen die Ergebnisse von Sicherheitstools in wichtige Inputs für jedes dasjenige Programmmanagement und die Verbesserung umwandeln. Während jedes Unternehmen seinen eigenen Weg zur Reife verfolgt, hebt dasjenige BSIMM vier gemeinsame Merkmale hervor, die in diesen etablierten Unternehmen vorhanden sind und die ein Unternehmen nachahmen kann, um ein erfolgreiches Software-Sicherheitsprogramm aufzubauen.

Inventarisierung von Software-Assets
Die Reise beginnt damit, dass Unternehmen verstehen, welches sie verwalten. Für jedes viele Organisationen erfordert dies vereinigen neuen oder zusätzlichen Luxus, um ein lebendiges Softwareinventar zu erstellen.

Selbst reife Unternehmen nach sich ziehen Schwierigkeiten damit, ein genaues, aktuelles Inventar zu resultieren, dasjenige die Informationen enthält, die für jedes Risikomanagemententscheidungen erforderlich sind. Während es gut ist, Softwaremerkmale zu verfolgen (zB Sprache, Baukunst, Risikoklassifizierung, Datenklassifizierung), wird es immer wichtiger, die Zusammensetzung zu verfolgen (zB Open Source, Drittanbieter, Unterkomponenten).

Während die BSIMM-Rastlosigkeit „Entwicklungsprozess eines Betriebsinventars dieser Wertströme dieser Softwarebereitstellung“ nur in so gut wie dieser Hälfte (48 %) dieser 128 Unternehmen in dieser BSIMM12-Studie beobachtet wurde, wird sie wie Schlüssel zum Lorbeeren geachtet. Ein gut laufendes Software-Sicherheitsprogramm muss sein Portfolio verstehen.

Vermessungstelemetriequellen
Die meisten Organisationen in BSIMM12 (71 %) nach sich ziehen vereinigen Softwaresicherheitslebenszyklus für jedes die Verwaltung ihres Verantwortungsbereichs definiert. In den letzten zwei Jahren nach sich ziehen wir die Menge dieser BSIMM-Aktivitäten im Lebenszyklus, die durch Automatisierung durchgeführt werden, stark zugenommen. Ein solches Paradigma ist die „Integration von opaque-box-Sicherheitstools in den QA-Prozess“, die um 50 % zugenommen hat. Selbige Bemühungen sind eine großartige Quelle für jedes Telemetrie, um Entscheidungsprozesse zu fördern.

Während Quellen wichtige Fehlerdaten produzieren können, gibt es eine oft zu wenig genutzte Range an verfügbaren Metadaten. Zum Paradigma, welcher Projekte wurden gescannt im Zusammenhang welches Zeitpunkt mit welcher Methoden offenstehen drei separate Dimensionen, um ein genaueres Zeichnung des Risikomanagements zu erstellen. Suchen Sie beim Identifizieren von Telemetriequellen reichlich die verfügbaren Sicherheitstools hinaus.

Denken Sie daran, dass die Automatisierung nicht mehr nur dazu zuständig ist, Schwachstellen zu identifizieren; In vielen Fällen werden Go/No-Go-Entscheidungen zugeführt, Wissen konzentriert oder Risikoausnahmeprozesse verwaltet. Jede Organisation muss testen, welche Datenquellen verfügbar sind, und für jedes Bereiche planen, in denen sie unzulänglich sind.

Tools verbinden; Etablieren Sie Feedbackschleifen
Um mit dieser Entwicklungsgeschwindigkeit Schrittgeschwindigkeit zu halten, zertrennen viele Unternehmen große, monolithische Gates in kleinere Phasen. Dies ersetzt in dieser Regel manuelle In-Kapelle-Übungen wie Penetrationstests durch eine oder mehrere leichtere, automatisierte In-Kapelle-äquivalente Aktivitäten. Schwerere, manuelle Übungen können weiterhin durchgeführt werden, werden jedoch von außen kommend des Bandes durchgeführt. Die Ergebnisse dieser Bemühungen und die Telemetriequellen aus den letzten Schrittgeschwindigkeit-Feed-Dashboards, die im gesamten Unternehmen veröffentlicht werden.

See Also
Okta Breach

Moderne Dashboards zusammenfassen sich weniger hinauf Schwachstellentrends wie hinauf Business Enablement, wie Leistung (Vollziehung und Beseitigung) und Qualität (Fehlerdichte und Ausfallsicherheit). Selbige Datenansichten können im Zusammenhang Bottom-up-Initiativen helfen, während sie vereinigen freundlichen Wettbewerb zwischen den Ingenieurteams anspornen. Sie helfen Neben… im Zusammenhang Top-Down-Initiativen, während sie Unternehmensleiterdaten bewilligen, um zu entscheiden, hinauf welche Mitarbeiterzahl oder dasjenige Haushalt fokussiert werden soll.

Setzen Sie Governance-Entscheidungen in den Kodex um
Die ausgereiftesten Unternehmen möglich sein noch vereinigen Schrittgeschwindigkeit weiter und treffen Governance-Entscheidungen in Geheimzeichen, dieser in Pipelines vollzogen wird. Während die Rastlosigkeit „Integration von Software-Defined Lifecycle Governance“ zugenommen hat, wurde sie in dieser BSIMM12-Studie nur in 4,6% dieser Unternehmen beobachtet. Standards, Richtlinien, Bewertungstabellen und andere traditionelle Governance-Management-Artefakte werden in Pythonschlange-Skripte übersetzt. Dieser wiederholbare, effiziente Konzept ermöglicht es Unternehmen, die Einhaltung von Sicherheitsanforderungen sicherzustellen und synchron den Nachweis dieser Compliance erheblich zu beschleunigen.

Wiewohl wenn wir die Zukunft nicht vorhersagen können, sind wir zuversichtlich, dass Softwaresicherheitsprogramme mit zunehmender Automatisierung des Anwendungslebenszyklusmanagements Entscheidungen im Geheimzeichen treffen und verwalten. Dieser Konzept erfordert, dass die Unterbau dasjenige Portfolio des Programms versteht, Prozesse und Tools tiefer verbindet und Entscheidungen und Wissen vorantreibt, damit Menschen sie testen können.

Ihre Organisation befindet sich notfalls hinauf verschiedenen Stufen dieser Reise. Notfalls sollen Sie frühere Schritte neu wertschätzen, um voranzukommen, nichtsdestotrotz dieser Weg ist dieser Schlüssel zur Problembeseitigung dieser Probleme von morgiger Tag.

What's Your Reaction?
Excited
0
Happy
0
In Love
0
Not Sure
0
Silly
0
View Comments (0)

Leave a Reply

Your email address will not be published.

Scroll To Top