SEC11-BP01 Pelatihan untuk keamanan aplikasi

Berikan pelatihan kepada tim Anda tentang praktik pengembangan dan operasi yang aman, yang membantu mereka membangun perangkat lunak yang aman dan berkualitas tinggi. Praktik ini membantu tim Anda mencegah, mendeteksi, dan memulihkan masalah keamanan lebih awal dalam siklus pengembangan. Pertimbangkan pelatihan yang mencakup pemodelan ancaman, praktik pengodean yang aman, dan penggunaan layanan untuk konfigurasi dan operasi yang aman. Beri tim Anda akses ke pelatihan melalui sumber daya mandiri, dan secara teratur kumpulkan umpan balik mereka untuk peningkatan berkelanjutan.

Hasil yang diinginkan: Anda membekali tim Anda dengan pengetahuan dan keterampilan yang diperlukan untuk merancang dan membangun perangkat lunak dengan mempertimbangkan keamanan sejak awal. Melalui pelatihan tentang pemodelan ancaman dan praktik pengembangan yang aman, tim Anda memiliki pemahaman mendalam tentang potensi risiko keamanan dan cara memitigasinya selama siklus hidup pengembangan perangkat lunak (SDLC). Pendekatan proaktif terhadap keamanan ini adalah bagian dari budaya tim Anda, dan Anda dapat mengidentifikasi dan memulihkan potensi masalah keamanan sejak dini. Hasilnya, tim Anda menghadirkan perangkat lunak dan fitur berkualitas tinggi dan aman dengan lebih efisien, yang mempercepat jadwal pengiriman secara keseluruhan. Anda memiliki budaya keamanan kolaboratif dan inklusif dalam organisasi Anda, di mana kepemilikan keamanan dibagi di antara semua builder.

Anti-pola umum:

Anda menunggu sampai peninjauan keamanan, lalu mempertimbangkan karakteristik keamanan sistem.
Anda menyerahkan semua keputusan keamanan kepada tim keamanan pusat.
Anda tidak menyampaikan cara keputusan diambil dalam SDLC terkait ekspektasi atau kebijakan keamanan secara keseluruhan di organisasi.
Anda terlambat melakukan proses peninjauan keamanan.

Manfaat menjalankan praktik terbaik ini:

Memiliki pengetahuan yang lebih baik seputar persyaratan organisasi untuk keamanan pada fase awal siklus pengembangan.
Dapat mengidentifikasi dan mengatasi potensi masalah keamanan lebih cepat, sehingga dapat mengirim fitur lebih cepat.
Peningkatan kualitas perangkat lunak dan sistem.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan: Sedang

Panduan implementasi

Untuk membangun perangkat lunak yang aman dan berkualitas tinggi, berikan pelatihan kepada tim Anda tentang praktik umum untuk pengembangan dan operasi aplikasi yang aman. Praktik ini dapat membantu tim Anda mencegah, mendeteksi, dan memulihkan masalah keamanan lebih awal dalam siklus pengembangan, yang dapat mempercepat jadwal pengiriman Anda.

Untuk mewujudkan praktik ini, pertimbangkan untuk melatih tim Anda tentang pemodelan ancaman menggunakan sumber daya AWS seperti Lokakarya Pemodelan Ancaman. Pemodelan ancaman dapat membantu tim Anda memahami potensi risiko keamanan dan merancang sistem dengan mempertimbangkan keamanan sejak awal. Selain itu, Anda dapat memberikan akses ke pelatihan AWS Training and Certification, industri, atau Partner AWS tentang praktik pengembangan yang aman. Untuk detail lebih lanjut tentang pendekatan komprehensif dalam merancang, mengembangkan, mengamankan, dan beroperasi secara efisien dalam skala besar, lihat Panduan DevOps AWS.

Tentukan dan komunikasikan dengan jelas proses peninjauan keamanan organisasi Anda, dan uraikan tanggung jawab tim Anda, tim keamanan, dan pemangku kepentingan lainnya. Publikasikan panduan mandiri, contoh kode, dan templat yang menunjukkan cara memenuhi persyaratan keamanan Anda. Anda dapat menggunakan layanan AWS seperti AWS CloudFormation, AWS Cloud Development Kit (AWS CDK) (AWS CDK) Constructs, dan Service Catalog untuk menyediakan konfigurasi yang telah disetujui sebelumnya dan aman serta mengurangi kebutuhan untuk pengaturan kustom.

Dapatkan umpan balik secara rutin dari tim Anda terkait pengalaman mereka seputar pelatihan dan proses peninjauan keamanan, dan gunakan umpan balik tersebut untuk terus melakukan peningkatan. Lakukan "game day" atau aktivitas "bug bash" untuk mengidentifikasi dan mengatasi masalah keamanan sambil meningkatkan keterampilan tim Anda.

Langkah-langkah implementasi

Identifikasi kebutuhan pelatihan: Evaluasi tingkat keterampilan saat ini dan kesenjangan pengetahuan dalam tim Anda mengenai praktik pengembangan yang aman melalui survei, peninjauan kode, atau diskusi dengan anggota tim.
Rencanakan pelatihan: Berdasarkan kebutuhan yang teridentifikasi, buat rencana pelatihan yang mencakup topik yang relevan seperti pemodelan ancaman, praktik pengodean aman, pengujian keamanan, dan praktik deployment yang aman. Gunakan sumber daya seperti Lokakarya Pemodelan Ancaman, AWS Training and Certification, dan program pelatihan industri atau Partner AWS.
Jadwalkan dan berikan pelatihan: Jadwalkan sesi pelatihan atau lokakarya reguler untuk tim Anda. Hal ini dapat dipimpin oleh instruktur atau mandiri, tergantung pada preferensi dan ketersediaan tim Anda. Anjurkan latihan praktik langsung dan sediakan contoh praktis untuk memperkuat pembelajaran.
Tentukan proses peninjauan keamanan: Bekerjasamalah dengan tim keamanan Anda dan pemangku kepentingan lainnya untuk menentukan secara jelas proses peninjauan keamanan untuk aplikasi Anda. Dokumentasikan tanggung jawab setiap tim atau individu yang terlibat dalam proses tersebut, termasuk tim pengembangan Anda, tim keamanan, dan pemangku kepentingan terkait lainnya.
Buat sumber daya mandiri: Kembangkan panduan mandiri, contoh kode, dan templat yang menunjukkan cara memenuhi persyaratan keamanan organisasi Anda. Pertimbangkan layanan AWS seperti CloudFormation, AWS CDK Constructs, dan Service Catalog untuk menyediakan konfigurasi yang telah disetujui sebelumnya dan aman serta mengurangi kebutuhan untuk pengaturan kustom.
Lakukan komunikasi dan sosialisasi: Komunikasikan secara efektif proses peninjauan keamanan dan sumber daya mandiri yang tersedia kepada tim Anda. Lakukan sesi pelatihan atau lokakarya untuk membiasakan mereka dengan sumber daya ini, dan verifikasi bahwa mereka memahami cara menggunakannya.
Kumpulkan umpan balik dan lakukan peningkatan: Dapatkan umpan balik secara rutin dari tim Anda terkait pengalaman mereka seputar pelatihan dan proses peninjauan keamanan. Gunakan umpan balik ini untuk mengidentifikasi area yang memerlukan peningkatan serta terus menyempurnakan materi pelatihan, sumber daya mandiri, dan proses peninjauan keamanan.
Lakukan latihan keamanan: Adakan "game day" atau aktivitas "bug bash" untuk mengidentifikasi dan mengatasi masalah keamanan dalam aplikasi Anda. Latihan ini tidak hanya membantu mengungkap potensi kerentanan, tetapi juga berfungsi sebagai kesempatan pembelajaran praktis bagi tim Anda yang meningkatkan keterampilan mereka dalam pengembangan dan operasi yang aman.
Terus belajar dan lakukan peningkatan: Dorong tim Anda untuk terus mengikuti informasi tentang praktik, alat, dan teknik pengembangan terbaru yang aman. Tinjau dan perbarui materi dan sumber daya pelatihan Anda secara berkala untuk mencerminkan lanskap dan praktik terbaik keamanan yang terus berubah.

Sumber daya

Praktik-praktik terbaik terkait:

SEC11-BP08 Buat program yang menanamkan kepemilikan keamanan dalam tim beban kerja

Dokumen terkait:

Video terkait:

Keamanan proaktif: Pertimbangan dan pendekatan

Contoh terkait:

Layanan terkait:

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

SEC 11. Bagaimana cara menyertakan dan memvalidasi karakteristik keamanan aplikasi sepanjang siklus hidup desain, pengembangan, dan deployment?

SEC11-BP02 Otomatiskan pengujian sepanjang siklus hidup pengembangan dan rilis