SEC11-BP01 Für Anwendungssicherheit schulen

Bieten Sie den Entwicklern in Ihrer Organisation Schulungsmöglichkeiten zu allgemeinen Praktiken für die sichere Entwicklung und den sicheren Betrieb von Anwendungen. Die Einführung sicherheitsbezogener Entwicklungsmethoden trägt dazu bei, die Wahrscheinlichkeit von Problemen zu verringern, die erst während der Phase der Sicherheitsüberprüfung erkannt werden.

Gewünschtes Ergebnis: Beim Entwerfen und Entwickeln von Software sollten Sicherheitsaspekte berücksichtigt werden. Wenn Entwickler in einer Organisation hinsichtlich sicherer Entwicklungspraktiken, die mit einem Bedrohungsmodell beginnen, geschult sind, wird die gesamte Qualität und Sicherheit der entwickelten Software verbessert. Mithilfe dieses Ansatzes kann die Zeit bis zur Auslieferung von Software oder Funktionen verringert werden, da der Überarbeitungsaufwand nach Sicherheitsüberprüfungen geringer ist.

Für den Zweck dieser bewährten Methode bezieht sich sichere Entwicklung auf die Software, die geschrieben wird, und auf die Tools oder Systeme, die den Softwareentwicklungs-Lebenszyklus unterstützen.

Typische Anti-Muster:

• Auf eine Sicherheitsüberprüfung warten und dann die Sicherheitseigenschaften eines Systems berücksichtigen

• Alle sicherheitsbezogenen Entscheidungen dem Sicherheitsteam überlassen

• Nicht kommunizieren, wie sich die im Softwareentwicklungs-Lebenszyklus getroffenen Entscheidungen auf die allgemeinen Sicherheitserwartungen- oder -richtlinien der Organisation beziehen

• Den Sicherheitsüberprüfungsprozess zu spät nutzen

Vorteile der Nutzung dieser bewährten Methode:

• Bessere Kenntnis der Unternehmensanforderungen hinsichtlich der Sicherheit frühzeitig im Entwicklungszyklus

• Schnellere Auslieferung von Funktionen durch schnelles Identifizieren und Lösen potenzieller Sicherheitsprobleme

• Verbesserte Qualität von Software und Systemen

Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: Mittel

Implementierungsleitfaden

Stellen Sie Schulungen für Entwickler in Ihrer Organisation bereit. Ein Kurs über Bedrohungsmodellierung ist ein guter Start, um einen Grundstein für Sicherheitsschulungen zu legen. Im Idealfall sollten Entwickler selbständig auf die Informationen zugreifen können, die für ihre Workloads relevant sind. Dieser Zugriff hilft ihnen dabei, fundierte Entscheidungen im Zusammenhang mit den Sicherheitseigenschaften der Systeme zu treffen, die sie entwickelt haben, ohne ein anderes Team kontaktieren zu müssen. Der Prozess für die Einbindung des Sicherheitsteams in Überprüfungen sollte klar definiert und einfach umsetzbar sein. Die Schritte des Überprüfungsprozesses sollten Inhalt der Sicherheitsschulung sein. Wenn bekannte Implementierungsmuster oder Vorlagen verfügbar sind, sollten sie einfach zu finden und mit den allgemeinen Sicherheitsanforderungen verknüpft sein. Erwägen Sie, AWS CloudFormation, AWS Cloud Development Kit (AWS CDK)-Konstrukte, Service Catalog oder andere Vorlagen-Tools zu verwenden, um weniger benutzerspezifische Konfigurationen zu benötigen.

Implementierungsschritte

• Stellen Sie einen Kurs über Bedrohungsmodellierung für Entwickler bereit. Dies ist eine gute Grundlage und trägt dazu bei, sie für Sicherheitsüberlegungen zu schulen.

• Bieten Sie Zugriff auf AWS Training Training and Certification sowie auf Branchen- oder AWS-Partner-Schulungen.

• Bieten Sie Schulungen zum Sicherheitsüberprüfungsprozess Ihrer Organisation an, die die Aufteilung von Verantwortlichkeiten zwischen Sicherheitsteams, Workload-Teams und anderen Beteiligten deutlich machen.

• Veröffentlichen Sie Self-Service-Anweisungen zur Erfüllung von Sicherheitsanforderungen, einschließlich Codebeispielen und Vorlagen, wenn verfügbar.

• Holen Sie regelmäßig Feedback von Entwicklerteams zu ihrer Erfahrung mit dem Sicherheitsüberprüfungsprozess und den Schulungen ein und verwenden Sie dieses Feedback, um Verbesserungen zu implementieren.

• Führen Sie Simulationen (Gamedays) oder Kampagnen zur Beseitigung von Bugs durch, um die Anzahl von Fehlern zu verringern und die Fähigkeiten Ihrer Entwickler auszuweiten.

Ressourcen

Zugehörige bewährte Methoden:

• SEC11-BP08 Ein Programm entwickeln, das den Workload-Teams die Verantwortung für die Sicherheit überträgt

Zugehörige Dokumente:

• AWS Training and Certification

• Betrachtung der Cloud-Sicherheits-Governance

• Konzepte für Bedrohungsmodellierung

• Schulungen beschleunigen – AWS Skills Guild

Zugehörige Videos:

• Proaktive Sicherheit: Überlegungen und Ansätze

Zugehörige Beispiele:

• Workshop zur Bedrohungsmodellierung

• Branchenbewusstsein für Entwickler

Zugehörige Services:

• AWS CloudFormation

• AWS Cloud Development Kit (AWS CDK) (AWS CDK)-Konstrukte

• Service Catalog

• AWS BugBust