Bezpečnost ve vývoji

Bezpečnost při vývoji softwaru
Navrhujte a vyvíjejte aplikace bezpečné už od začátku jejich životního cyklu

Mnoho aplikací a softwaru obecně je architektonicky vyřešeno správně až na otázky bezpečnosti. Vývojáři a testeři se často soustředí především na požadované funkce a jejich správnou činnost. Zapomínají ale na to, že dodatečné řešení bezpečnosti, například až ke konci vývoje aplikace, může způsobit značné ztráty.
Pokud není bezpečnost integrální součástí celého životního cyklu softwaru (SDLC - Software Development LifeCycle), běžně dochází k různým opomenutím a vzniku bezpečnostních děr. Kromě toho není bezpečný ani vlastní vývoj, kdy často nejsou vůbec nastaveny povinnosti a odpovědnosti vývojářů při ochraně vytvářeného kódu. Proto Cleverlance přichází s řešením Secure SDLC. Jedná se o soubor opatření a metod, aby byl software bezpečný v průběhu celého svého životního cyklu.
Proč si pro bezpečný vývoj softwaru vybrat právě Cleverlance

• Unikátní metodiky díky úzké spolupráci týmu bezpečnostních specialistů a týmu vývojářů.
• Jedinečný široký tým certifikovaných specialistů pro různé platformy s plnou zastupitelností (J2EE, .NET, Oracle).
• Dlouholeté zkušenosti s bezpečností frontendových aplikací.

Více o bezpečném vývoji softwaru na stránkách AEC (divize společnosti Cleverlance)

Nejdůležitější výhody a přínosy Cleverlance řešení

• Nižší celkové náklady na vlastnictví (TCO) a vyšší návratnost (ROI) - například odstranění pouze 50 % zranitelností před nasazením aplikace do produkce znamená o 75 % nižší náklady (analýza Gartner Group).
• Náprava bezpečnostních chyb ve fázi analýzy je 100krát levnější, než jejichž oprava v již hotovém softwaru (analýza Fortify Software).
• Snížení provozních rizik a také posilování dobrého jména společnosti.
  

​Nejzranitelnější jsou webové aplikace
Podle společnosti Gartner je 80 % úspěšných útoků realizováno skrz webové aplikace. A podle společnosti Forrester 36 % zákazníků nevyužívá služby poskytované webovými aplikacemi z důvodu obav o svoji bezpečnost.
S tím, jak se aplikace stále častěji přesouvají na internet nejen ve smyslu komunikace, ale i fyzického umístění, nabývají bezpečnostní aspekty stále většího významu. Pro vytvoření maximálně bezpečné aplikace je třeba mít bezpečnost na zřeteli v každé fázi vývojového cyklu. Bezpečnost je třeba chápat především jako proces, a z tohoto pohledu je třeba k ní při vývoji i přistupovat. Například je vhodné mít k dispozici ucelenou metodiku, která slouží jako průvodce implementací bezpečnosti do vyvíjené aplikace.
Naši specialisté jsou organizaci schopni poskytnout účinnou pomoc zejména při vytváření ucelené metodiky pro vývoj programového vybavení. Tato metodika obsahuje bezpečnostní mechanismy aplikovatelné pro všechny fáze vývojového cyklu – od počáteční analýzy a stanovení (bezpečnostních) požadavků na vyvíjenou aplikaci až po testování a předání aplikace do provozního prostředí.
Jako vodítko při implementaci bezpečnosti do vývoje mohou být použity následující normy a další materiály:

• ISO/IEC 27000 Series (27034 – Guidelines for application security);
• Common Criteria (ISO/IEC 15048);
• NIST, FIPS 200,
  - SP 800-64 - Security Considerations in the System Development Life Cycle,
  - SP 800-53 - Recommended Security Controls for Federal Information Systems and Organizations;
• OWASP;
• CLASP (Comprehensive, Lightweight Application Security Process).
  

Hlavním přínosem této služby je vývoj a produkce bezpečnějšího softwaru. Vytvořená metodika vždy stanovuje konkrétní postupy a principy, jejichž implementací do vyvíjených aplikací bude významně sníženo riziko výskytu možných zranitelností a bezpečnostních slabin.
Cleverlance zajišťuje zapojení bezpečnosti do vývoje aplikací:

• Již od analytické fáze,
• na míru specifikům a metodikám organizace,
• postavenou na základě obecně uznávaných metodik NIST, OWASP a ISO/OSI.
  

Řešení je vhodné pro:

• Aplikace vyvíjené u vás ve společnosti,
• dodávané aplikace.
  

Více o bezpečném vývoji softwaru na stránkách AEC (divize společnosti Cleverlance).