Варіант 1.
У документі Топ-10 OWASP 2017 надано рекомендації для організації по впровадженню програми забезпечення безпеки програмних продуктів. Аргументовано перерахуйте сім рекомендацій в порядку убування їх значущості (рівня впливу) на безпеку програмних продуктів.
1) Документуйте всі програми та пов’язані з ними ресурси даних. Більшим організаціям слід розглянути можливість впровадження бази даних керування конфігурацією (CMDB) для цієї мети.
2) Встановіть набір цілеспрямованих політик і стандартів, які забезпечують базовий рівень безпеки додатків для всіх команд розробників.
3) Встановіть загальну модель оцінки ризику з послідовним набором факторів імовірності та впливу, які відображають толерантність вашої організації до ризику.
4) Аналізуйте дані впровадження та верифікації, щоб знайти першопричину та шаблони вразливості, щоб стимулювати стратегічні та системні вдосконалення на підприємстві. Вчіться на помилках і пропонуйте позитивні стимули для просування вдосконалень.
5) Визначити та інтегрувати дії щодо безпечного впровадження та перевірки в існуючі процеси розробки та експлуатації. Діяльність включає моделювання загроз, безпечне проектування та перевірку, безпечне кодування та перевірку коду, тестування на проникнення та виправлення.
6) Керуйте за допомогою показників. Приймайте рішення про покращення та фінансування на основі отриманих показників і даних аналізу. Показники включають дотримання практик безпеки/діяльності, введені вразливості, пом’якшені вразливості, охоплення додатків, щільність дефектів за типом і кількістю екземплярів тощо.
7) Відповідно вимірюйте та визначте пріоритетність усіх ваших програм та API. Додайте результати до своєї CMDB.
oleksandrblazhko
commented
1 year ago
Варіант 1. У документі Топ-10 OWASP 2017 надано рекомендації для організації по впровадженню програми забезпечення безпеки програмних продуктів. Аргументовано перерахуйте сім рекомендацій в порядку убування їх значущості (рівня впливу) на безпеку програмних продуктів.
1) Документуйте всі програми та пов’язані з ними ресурси даних. Більшим організаціям слід розглянути можливість впровадження бази даних керування конфігурацією (CMDB) для цієї мети.
2) Встановіть набір цілеспрямованих політик і стандартів, які забезпечують базовий рівень безпеки додатків для всіх команд розробників.
3) Встановіть загальну модель оцінки ризику з послідовним набором факторів імовірності та впливу, які відображають толерантність вашої організації до ризику.
4) Аналізуйте дані впровадження та верифікації, щоб знайти першопричину та шаблони вразливості, щоб стимулювати стратегічні та системні вдосконалення на підприємстві. Вчіться на помилках і пропонуйте позитивні стимули для просування вдосконалень.
5) Визначити та інтегрувати дії щодо безпечного впровадження та перевірки в існуючі процеси розробки та експлуатації. Діяльність включає моделювання загроз, безпечне проектування та перевірку, безпечне кодування та перевірку коду, тестування на проникнення та виправлення.
6) Керуйте за допомогою показників. Приймайте рішення про покращення та фінансування на основі отриманих показників і даних аналізу. Показники включають дотримання практик безпеки/діяльності, введені вразливості, пом’якшені вразливості, охоплення додатків, щільність дефектів за типом і кількістю екземплярів тощо.
7) Відповідно вимірюйте та визначте пріоритетність усіх ваших програм та API. Додайте результати до своєї CMDB.