androide

Il nuovo sito definisce le migliori pratiche per la sicurezza del software

VideoConferenze Gratuite e Utenti Illimitati: Jitsi Meet

VideoConferenze Gratuite e Utenti Illimitati: Jitsi Meet
Anonim

Quante sicurezza gli ufficiali dovrebbero esserci per ogni sviluppatore di software? La risposta è una su 100. Questa e altre migliori best practice per la sicurezza del software sono ora parte di un progetto congiunto tra il fornitore di sicurezza Fortify e la società di consulenza sulla sicurezza Cigital.

Il titolo Building Security In Maturity Model (BSIMM), il il progetto non è destinato a essere un "come" né una soluzione adatta per scrivere codice sicuro, secondo Fortify. Piuttosto, BSIMM è il risultato di conversazioni sulle pratiche di sicurezza del software che Fortify e Cigital hanno avuto con aziende come Adobe, EMC, Google, Microsoft, QUALCOMM, Wells Fargo e Depository Trust & Clearing Corporation (DTCC).

In molti casi le società stavano facendo, in linea di principio, alcune delle stesse cose. Ad esempio, tutte le organizzazioni intervistate hanno un curriculum di formazione sulla sicurezza istituzionalizzato per programmatori, ingegneri del controllo qualità e project manager. Ciascuna delle nove imprese ha un gruppo designato di personale addetto alla sicurezza del software, uno per ogni cento sviluppatori di software. E tutte le aziende intervistate enfatizzano l'educazione alla sicurezza, le risorse tecniche e il mentoring piuttosto che la polizia per gli errori di sicurezza e distribuendo punizioni.

[Ulteriori letture: Come rimuovere il malware dal PC Windows]

Il risultato è rara visione di cosa le organizzazioni di successo effettivamente fanno per costruire sicurezza nel loro software e gli strumenti sul sito possono essere scaricati gratuitamente dalle organizzazioni che cercano di mitigare il rischio di business associato ad applicazioni non sicure. Ad esempio, il Software Security Framework (SSF), incluso all'interno del BSIMM, è un modello di sicurezza adattabile che consente a qualsiasi organizzazione di valutare il loro stato attuale di sviluppo del software, dare la priorità alle modifiche e tracciare i progressi.

Il modello utilizza un dozzine di categorie per illustrare tutti i passaggi tra la formazione e il test del software dopo che è stato scritto. Esiste un elenco di attività all'interno di ogni categoria progettate per contribuire a rendere più sicuro il software di un'azienda. Le attività richiedono all'azienda di fornire esempi della propria storia per personalizzare i punti.

Se questo suona familiare, lo è. La scorsa estate Mozilla ha annunciato un progetto simile avviato da Window Snyder prima di lasciare la società. Anche in questo caso, le migliori pratiche di sicurezza utilizzate in Mozilla dovevano essere modellate e insegnate ad altre società. Il progetto Mozilla Metrics è attualmente gestito da Rich Mogull.