SEC11-BP01 Schulen für Anwendungssicherheit
Bieten Sie den Entwicklern in Ihrer Organisation Schulungsmöglichkeiten zu allgemeinen Praktiken für die sichere Entwicklung und den sicheren Betrieb von Anwendungen. Die Einführung sicherheitsbezogener Entwicklungsmethoden trägt dazu bei, die Wahrscheinlichkeit von Problemen zu verringern, die erst während der Phase der Sicherheitsüberprüfung erkannt werden.
Gewünschtes Ergebnis: Beim Entwerfen und Entwickeln von Software sollten Sicherheitsaspekte berücksichtigt werden. Wenn Entwickler in einer Organisation hinsichtlich sicherer Entwicklungspraktiken, die mit einem Bedrohungsmodell beginnen, geschult sind, wird die gesamte Qualität und Sicherheit der entwickelten Software verbessert. Mithilfe dieses Ansatzes kann die Zeit bis zur Auslieferung von Software oder Funktionen verringert werden, da der Überarbeitungsaufwand nach Sicherheitsüberprüfungen geringer ist.
Für den Zweck dieser bewährten Methode bezieht sich sichere Entwicklung auf die Software, die geschrieben wird, und auf die Tools oder Systeme, die den Softwareentwicklungs-Lebenszyklus unterstützen.
Typische Anti-Muster:
-
Auf eine Sicherheitsüberprüfung warten und dann die Sicherheitseigenschaften eines Systems berücksichtigen
-
Alle sicherheitsbezogenen Entscheidungen dem Sicherheitsteam überlassen
-
Nicht kommunizieren, wie sich die im Softwareentwicklungs-Lebenszyklus getroffenen Entscheidungen auf die allgemeinen Sicherheitserwartungen- oder -richtlinien der Organisation beziehen
-
Den Sicherheitsüberprüfungsprozess zu spät nutzen
Vorteile der Nutzung dieser bewährten Methode:
-
Bessere Kenntnis der Unternehmensanforderungen hinsichtlich der Sicherheit frühzeitig im Entwicklungszyklus
-
Schnellere Auslieferung von Funktionen durch schnelles Identifizieren und Lösen potenzieller Sicherheitsprobleme
-
Verbesserte Qualität von Software und Systemen
Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: Mittel
Implementierungsleitfaden
Stellen Sie Schulungen für Entwickler in Ihrer Organisation bereit. Ein Kurs über Bedrohungsmodellierung
Implementierungsschritte
-
Stellen Sie einen Kurs über Bedrohungsmodellierung
für Entwickler bereit. Dies ist eine gute Grundlage und trägt dazu bei, sie für Sicherheitsüberlegungen zu schulen. -
Bieten Sie Zugriff auf AWS Training Training and Certification
sowie auf Branchen- oder AWS-Partner-Schulungen. -
Bieten Sie Schulungen zum Sicherheitsüberprüfungsprozess Ihrer Organisation an, die die Aufteilung von Verantwortlichkeiten zwischen Sicherheitsteams, Workload-Teams und anderen Beteiligten deutlich machen.
-
Veröffentlichen Sie Self-Service-Anweisungen zur Erfüllung von Sicherheitsanforderungen, einschließlich Codebeispielen und Vorlagen, wenn verfügbar.
-
Holen Sie regelmäßig Feedback von Entwicklerteams zu ihrer Erfahrung mit dem Sicherheitsüberprüfungsprozess und den Schulungen ein und verwenden Sie dieses Feedback, um Verbesserungen zu implementieren.
-
Führen Sie Simulationen (Gamedays) oder Kampagnen zur Beseitigung von Bugs durch, um die Anzahl von Fehlern zu verringern und die Fähigkeiten Ihrer Entwickler auszuweiten.
Ressourcen
Zugehörige bewährte Methoden:
Zugehörige Dokumente:
Zugehörige Videos:
Zugehörige Beispiele:
Zugehörige Services: