У документі Топ-10 OWASP 2017 надано рекомендації для організації по впровадженню
програми забезпечення безпеки програмних продуктів. Аргументовано перерахуйте сім
рекомендацій в порядку зростання можливих фінансових витрат на їх реалізації.
Прийняття рішень на основі метрик
Вимірювання відповідності практикам безпеки, кількості виявлених/виправлених/доданих вразливостей, покриття застосунку та ін. допоможе сконцентрувати зусилля на найважливіших проблемах і навіть зберегти кошти й час.
Оцініть потреби в безпеці для вашого портфоліо застосунків
При знанні, які дані використовуються застосунком, а також законів про конфіденційність та інших, визначення вимог до безпеки буде простим на незатратним.
Визначення правил гарантій безпеки
Визначення допустимого рівня безпеки може допомогти запезпечити безпечність продукту - небагато роботи, якщо розробники будуть його дотримуватися.
Документація інформаційних активів, створення БД управління конфігураціями
Якщо документувати активи даних під час проектування, це займе мінімальну кількість зусиль та коштів.
Проведення кампанії обізнаності про безпеку
За допомогою сповіщення через внутрішні канали комунікації в компанії можна менш затратно сприяти розробці безпечного продукту. Проведення лекцій/тренінгів з безпечної розробки також можливо, але може потребуватись запрошення експертів.
Визначення моделі оцінки спільних ризиків
Для розробки моделі оцінки ризиків необхідно розуміти можливі ризики для сфери діяльності організації, але в плані фінансових витрат це коштує порівняно небагато.
Інтеграція безпечних реалізацій та верифікацій в існуючі процеси
Інтеграція моделювання загроз, безпечне проектування, оцінювання коду, тестування на проникнення та ін. може займати багато часу, хоча поступова їх інтеграція в наявні процеси може бути простіше.
oleksandrblazhko
commented
11 months ago
Прийняття рішень на основі метрик
Вимірювання відповідності практикам безпеки, кількості виявлених/виправлених/доданих вразливостей, покриття застосунку та ін. допоможе сконцентрувати зусилля на найважливіших проблемах і навіть зберегти кошти й час.
Оцініть потреби в безпеці для вашого портфоліо застосунків
При знанні, які дані використовуються застосунком, а також законів про конфіденційність та інших, визначення вимог до безпеки буде простим на незатратним.
Визначення правил гарантій безпеки
Визначення допустимого рівня безпеки може допомогти запезпечити безпечність продукту - небагато роботи, якщо розробники будуть його дотримуватися.
Документація інформаційних активів, створення БД управління конфігураціями
Якщо документувати активи даних під час проектування, це займе мінімальну кількість зусиль та коштів.
Проведення кампанії обізнаності про безпеку
За допомогою сповіщення через внутрішні канали комунікації в компанії можна менш затратно сприяти розробці безпечного продукту. Проведення лекцій/тренінгів з безпечної розробки також можливо, але може потребуватись запрошення експертів.
Визначення моделі оцінки спільних ризиків
Для розробки моделі оцінки ризиків необхідно розуміти можливі ризики для сфери діяльності організації, але в плані фінансових витрат це коштує порівняно небагато.
Інтеграція безпечних реалізацій та верифікацій в існуючі процеси
Інтеграція моделювання загроз, безпечне проектування, оцінювання коду, тестування на проникнення та ін. може займати багато часу, хоча поступова їх інтеграція в наявні процеси може бути простіше.