Bezpečnost

Bezpečný vývoj softwaru v celém životním cyklu

Je poměrně běžné, že společnosti při návrhu obchodního procesu a následném návrhu a vývoji softwaru na komplexní řešení bezpečnosti příliš nemyslí. Dvojnásob to platí u webových aplikací. Obchodní zadavatelé, architekti, vývojáři a testeři se často soustředí hlavně na požadované funkce a jejich správnou činnost pro podporu obchodních procesů. Zapomínají na to, že dodatečné řešení bezpečnosti – například až na konci vývoje aplikace – může způsobit značné ztráty (opožděné nasazení aplikace), vícenáklady nebo v nejhorším případě obojí.
Pokud není bezpečnost integrální součástí celého životního cyklu softwaru (tedy počínaje obchodním procesem), dochází běžně k různým opomenutím a vzniku bezpečnostních děr. Kromě toho není bezpečný ani vlastní vývoj, kdy často nejsou vůbec nastaveny povinnosti a odpovědnosti vývojářů při ochraně vytvářeného kódu.
Proto bezpečnostní divize Cleverlance – AEC přichází s komplexním bezpečnostním řešením. Jedná se o soubor opatření a metod vedoucí k bezpečnému softwaru v průběhu celého svého životního cyklu - SDLC (Security Development LifeCycle). Díky dlouholetým zkušenostem v oblasti bezpečnosti máme i rozsáhlé portfolio dalších potřebných produktů a služeb. Pro vývoj tak úspěšně využíváme například analýzy rizik, modely hrozeb, bezpečnostní dokumentaci, zajištění kontinuity provozu či produkt Web Application Firewall.
Hlavní přínosy

• Náprava bezpečnostních chyb ve fázi analýzy je 100krát levnější než jejichž oprava v již hotovém softwaru (analýza Fortify Software).
• Nižší celkové náklady na vlastnictví (TCO) a vyšší návratnost (ROI) - například odstranění pouze 50 % zranitelností před nasazením aplikace do produkce znamená o 75 % nižší náklady (analýza Gartner Group).
• Unikátní metodiky zajištění bezpečnosti díky úzké spolupráci týmu bezpečnostních specialistů a týmu vývojářů.
• Široký tým certifikovaných specialistů pro různé platformy s plnou zastupitelností (J2EE, .NET, Oracle).
• Dlouholeté zkušenosti s bezpečností webových (frontendových) aplikací.
• Snížení provozních rizik a také posilování dobrého jména společnosti.

Podrobné informace o bezpečném vývoji softwaru
Security Software Development LifeCycle je promyšlený postup, jak zabezpečit software od úplného začátku vývoje až po ostrý provoz - jednoduše v rámci celého životního cyklu. Takový software pak mnohem lépe odolává útokům díky své jasné bezpečnostní struktuře. Organizacím dokáže SDLC ušetřit prostředky díky menšímu počtu bezpečnostních zásahů a potřebných záplat. Je možné říci, že SDLC je nejlepší prevencí pro ochranu softwaru a také pro ochranu dobrého jména společnosti.
Dnes a denně totiž dochází k útokům na podnikové ICT systémy. Nejzranitelnějším bodem jsou webové aplikace. Podle společnosti Gartner je 80 % úspěšných útoků realizováno skrz webové aplikace. A podle společnosti Forrester 36 % zákazníků nevyužívá služby poskytované webovými aplikacemi z důvodu obav o svoji bezpečnost.
S tím, jak se aplikace stále častěji přesouvají na internet nejen ve smyslu komunikace, ale i fyzického umístění, nabývají bezpečnostní aspekty čím dál většího významu. Pro vytvoření maximálně bezpečné aplikace je třeba mít bezpečnost na zřeteli v každé fázi vývojového cyklu. Bezpečnost je třeba chápat především jako proces, a z tohoto pohledu je třeba k bezpečnosti při vývoji i přistupovat. Například je vhodné mít k dispozici ucelenou metodiku, která slouží jako průvodce implementací bezpečnosti do vyvíjené aplikace.
Naši specialisté jsou organizaci schopni poskytnout účinnou pomoc zejména při vytváření ucelené metodiky pro vývoj programového vybavení. Tato metodika obsahuje bezpečnostní mechanismy aplikovatelné pro všechny fáze vývojového cyklu – od počáteční analýzy a stanovení (bezpečnostních) požadavků na vyvíjenou aplikaci až po testování a předání aplikace do provozního prostředí.
Jako vodítko při implementaci bezpečnosti do vývoje mohou být použity následující normy a další materiály:

• ISO/IEC 27000 Series (27034 – Guidelines for Application Security),
• Common Criteria (ISO/IEC 15048),
• NIST, FIPS 200,

- SP 800-64 - Security Considerations in the System Development Life Cycle,

- SP 800-53 - Recommended Security Controls for Federal Information Systems and Organizations,

• OWASP,
• CLASP (Comprehensive, Lightweight Application Security Process).

Hlavním přínosem této služby je vývoj a produkce bezpečnějšího softwaru. Vytvořená metodika vždy stanovuje konkrétní postupy a principy, jejichž implementací do vyvíjených aplikací bude významně sníženo riziko výskytu možných zranitelností a bezpečnostních slabin.
Cleverlance zajišťuje zapojení bezpečnosti do vývoje aplikací:

• již od analytické fáze,
• na míru specifikům a metodikám organizace,
• postavené na základě obecně uznávaných metodik NIST, OWASP a ISO/OSI.

Řešení je vhodné pro:

• aplikace vyvíjené u vás ve společnosti,
• dodávané aplikace.

Více o bezpečném vývoji softwaru také na stránkách AEC (divize společnosti Cleverlance).