Bezpečnosť

Latest tweets

Naši kolegové a kolegyně přijali výzvu v podobě akce #dopracenakole. Přejeme, ať jim to šlape! http://t.co/KnCLqaKiDa

Je nás pořád málo! Momentálně hledáme v BRNĚ Java vývojáře. Přijďte na kafe - popovídat si o své budoucnosti. http://t.co/QNAluMQB9o

Kariéra

Ďalšie pozície

Přehled
Podrobnosti

Bezpečný vývoj softvéru v celom životnom cykle

Je pomerne bežné, že spoločnosti pri návrhu obchodného procesu a následnom návrhu a vývoji softvéru na komplexné riešenie bezpečnosti príliš nemyslia. Dvojnásobne to platí pri webových aplikáciách. Obchodní zadávatelia, architekti, vývojári a testeri sa často sústredia hlavne na požadované funkcie a ich správnu činnosť na podporu obchodných procesov. Zabúdajú na to, že dodatočné riešenie bezpečnosti – napríklad až na konci vývoja aplikácie – môže spôsobiť značné straty (oneskorené nasadenie aplikácie), vyššie náklady alebo v najhoršom prípade oboje.

Ak nie je bezpečnosť integrálnou súčasťou celého životného cyklu softvéru (teda počínajúc obchodným procesom), dochádza bežne k rôznym opomenutiam a vzniku bezpečnostných dier. Okrem toho nie je bezpečný ani vlastný vývoj, keď často nie sú vôbec nastavené povinnosti a zodpovednosti vývojárov pri ochrane vytváraného kódu.

Preto bezpečnostná divízia Cleverlance – AEC prichádza s komplexným bezpečnostným riešením. Jedná sa o súbor opatrení a metód vedúcich k bezpečnému softvéru v priebehu celého svojho životného cyklu – SDLC (Security Development LifeCycle). Vďaka dlhoročným skúsenostiam v oblasti bezpečnosti máme i rozsiahle portfólio ďalších potrebných produktov a služieb. Na vývoj tak úspešne využívame napríklad analýzy rizík, modely hrozieb, bezpečnostnú dokumentáciu, zaistenie kontinuity prevádzky či produkt Web Application Firewall.

Hlavné prínosy

Náprava bezpečnostných chýb vo fáze analýzy je 100-krát lacnejšia než ich oprava v už hotovom softvéri (analýza Fortify Software).
Nižšie celkové náklady na vlastníctvo (TCO) a vyššia návratnosť (ROI) – napríklad odstránenie iba 50 % zraniteľností pred nasadením aplikácie do produkcie znamená o 75 % nižšie náklady (analýza Gartner Group).
Unikátne metodiky zaistenia bezpečnosti vďaka úzkej spolupráci tímu bezpečnostných špecialistov a tímu vývojárov.
Široký tím certifikovaných špecialistov pre rôzne platformy s plnou zastupiteľnosťou (J2EE, .NET, Oracle).
Dlhoročné skúsenosti s bezpečnosťou webových (frontendových) aplikácií.
Zníženie prevádzkových rizík a tiež posilňovanie dobrého mena spoločnosti.

Viac o bezpečnom vývoji softvéru tiež na stránkach AEC (divízie spoločnosti Cleverlance).

Podrobné informácie o bezpečnom vývoji softvéru
Security Software Development LifeCycle je premyslený postup, ako zabezpečiť softvér od úplného začiatku vývoja až po ostrý prevádzku – jednoducho v rámci celého životného cyklu. Taký softvér potom omnoho lepšie odoláva útokom vďaka svojej jasnej bezpečnostnej štruktúre. Organizáciám dokáže SDLC ušetriť prostriedky vďaka menšiemu počtu bezpečnostných zásahov a potrebných záplat. Dá sa povedať, že SDLC je najlepšou prevenciou na ochranu softvéru a tiež na ochranu dobrého mena spoločnosti.
Dnes a denne totiž dochádza k útokom na podnikové ICT systémy. Najzraniteľnejším bodom sú webové aplikácie. Podľa spoločnosti Gartner je 80 % úspešných útokov realizovaných prostredníctvom webovej aplikácie. A podľa spoločnosti Forrester 36 % zákazníkov nevyužíva služby poskytované webovými aplikáciami z dôvodu obáv o svoju bezpečnosť.
S tým, ako sa aplikácie stále častejšie presúvajú na internet nielen v zmysle komunikácie, ale i fyzického umiestnenia, nadobúdajú bezpečnostné aspekty čím ďalej väčší význam. Na vytvorenie maximálne bezpečnej aplikácie je potrebné mať bezpečnosť na zreteli v každej fáze vývojového cyklu. Bezpečnosť je potrebné chápať predovšetkým ako proces, a z tohto pohľadu je nutné k bezpečnosti pri vývoji i pristupovať. Napríklad je vhodné mať k dispozícii ucelenú metodiku, ktorá slúži ako sprievodca implementáciou bezpečnosti do vyvíjanej aplikácie.
Naši špecialisti sú organizácii schopní poskytnúť účinnú pomoc najmä pri vytváraní ucelenej metodiky na vývoj programového vybavenia. Táto metodika obsahuje bezpečnostné mechanizmy aplikovateľné na všetky fáze vývojového cyklu – od počiatočnej analýzy a stanovenia (bezpečnostných) požiadaviek na vyvíjanú aplikáciu až po testovanie a odovzdanie aplikácie do prevádzkového prostredia.
Ako vodidlo pri implementácii bezpečnosti do vývoja môžu byť použité nasledujúce normy a ďalšie materiály:

ISO/IEC 27000 Series (27034 – Guidelines for Application Security),
Common Criteria (ISO/IEC 15048),
NIST, FIPS 200,
– SP 800-64 – Security Considerations in the System Development Life Cycle,
– SP 800-53 – Recommended Security Controls for Federal Information Systems and Organizations,
OWASP,
CLASP (Comprehensive, Lightweight Application Security Process).

Hlavným prínosom tejto služby je vývoj a produkcia bezpečnejšieho softvéru. Vytvorená metodika vždy stanovuje konkrétne postupy a princípy, ktorých implementáciou do vyvíjaných aplikácií bude významne znížené riziko výskytu možných zraniteľností a bezpečnostných slabín.
Cleverlance zaisťuje zapojenie bezpečnosti do vývoja aplikácií:

už od analytickej fázy,
na mieru špecifikám a metodikám organizácie,
postavenej na základe všeobecne uznávaných metodík NIST, OWASP a ISO/OSI.

Riešenie je vhodné pre:

aplikácie vyvíjané u vás v spoločnosti,
dodávané aplikácie.

Viac o bezpečnom vývoji softvéru tiež na stránkach AEC (divízie spoločnosti Cleverlance).