Secure Software Development Lifecycle – Endava


Secure Software Development Lifecycle – Endava

Secure Software Development Life-cycle (SDL) je repetitivni merljivi proces dizajniran da poveca celokupnu sigurnost proizvoda nezavisno od industrije, modela razvoja ili korišćenja.

Kombinacija alata, procesa i treninga koji su sastavni deo u svih faza razvoja, obezbeđuju dobru odbranu (od potencijalnih pretnji) i sigurnije proizvode.

Skoro sve najveće kompanije razvijaju sopstvene SDL procese koje manje-vise uključuju:
– Planiranje sigurnosti proizvoda i zahteva (pronalaženje propusta, odluke o funkcionalnostima, menadžment liste funkcionalnosti),
– Sigurnost „treće strane“ (azurno, dokumentovano i izmene su objavljene),
– Bezbedan dizajn (threat model – protok podataka, granice poverenja, identifikovati i razrešiti pretnje),
– Bezbedno kodiranje (obrazovanje, code review, smernice sigurnog kodiranja, bezbedne biblioteke ),
– Sigurnosna analiza (statička analiza, prijava defekata),
– Sigurnosno testiranje (integrisano u CI, automatizovano skeniranje),
– Testiranje ranjivosti (koristeći dobro poznate suit-ove).

Osnovne prednosti korišćenja SDL metode su:
– Siguraniji i pouzdaniji softver,
– Svest o značaju sigurnosti svih osoba uključenih u proces,
– Rana detekcija nedostataka u sistemu,
– Smanjenje troškova kao rezultat rane detekcije i razrešavanja problema,
– Generalno smanjenje rizika za organizaciju.

Obično su svi zaposleni, podizvođači, konsultanti, privremeni i drugi radnici koji su uključeni u razvoj proizvoda, sistema ili sofverskog rešenja u obavezi da prate SDL. Posebnu ulogu u procesu imaju Program menadžer, glavni inženjer, glavni tester, marketing menadžer zadužen za proizvode i drugi glavni sigurnosni advokati ili oficiri.

Trening i edukacija su takodje bitan deo SDL-a. Sigurnost je neprekidan proces!

Više o bezbednom upravljanju razvojem softvera možete čuti na ovogodišnjoj ICT Security konferenciji od developera sa dugogodišnjim iskustvom u secure razvoju softvera – predstavnika kompanije Endava. Veći deo svog iskustva stekli se u radu za klijenta čiji su bezbednosni standardi najčešće iznad industry standard proseka. U Endavi u Beogradu radi oko 360 inženjera, na projektima za klijente koji su neka od najprepoznatljivijih imena svetske ICT scene.

Četvrta međunarodna ICT Security konferencija održaće se od 30. do 31. maja u Hotelu Crowne Plaza u Beogradu u organizaciji Udruženja eSigurnost.