Secure software development lifecycle (SSDLC)
SSDLC – жизненный цикл безопасной разработки – набор подходов, применяемых на всех этапах жизни приложений от проектирования до поддержки в процессе эксплуатации для повышения безопасности конечного продукта и снижению ущерба при наличии уязвимостей.
Практика крупных компаний показывает, что применение SSDLC уменьшает количество уязвимостей, обнаруженных в приложении за все время его жизни.
Внедрение такой концепции подразумевает меры, усиливающие безопасность на каждом этапе: безопасная архитектура ПО, соответствующее архитектуре определение угроз, навыки безопасной разработки и их применение при написании кода, статический и динамический анализ кода приложения, фаззинг, реагирование на обнаруженные уязвимости, выпуск и доставка обновлений.
DevSecOps
DevSecOps – подход к внедрению безопасности в DevOps с сохранением главного преимущества – скорости. В такой концепции классические средства обеспечения безопасности приложений с длительным сканированием, многостраничными отчетами и огромным количеством ложных срабатываний оказываются неприемлемыми, особенно, когда количество релизов может доходить до нескольких в день.
Выделяют следующие направления при внедрении DevSecOps:
- Автоматизация тестирования безопасности
- Модульное тестирование безопасности в процессе разработки, а не всего приложения перед релизом
- Интеграция средств тестирования безопасности с инструментами разработки
- Непрерывный мониторинг работы приложения