SEC11-BP01 Formazione per la sicurezza delle applicazioni
Fornisci formazione sulle procedure comuni agli sviluppatori nell'organizzazione in modo da garantire la sicurezza dello sviluppo e del funzionamento delle applicazioni. L'adozione di procedure di sviluppo incentrate sulla sicurezza riduce la probabilità di riscontrare problemi solo nella fase di revisione della sicurezza.
Risultato desiderato: progettazione del software tenendo conto della sicurezza. Quando gli sviluppatori in un'organizzazione ricevono formazione su procedure di sviluppo sicure iniziando con un modello di rischio, la qualità e la sicurezza complessive del software prodotto sono migliori. Questo approccio può ridurre il tempo necessario per distribuire il software o le funzionalità, in quanto saranno necessarie meno correzioni dopo la fase di revisione della sicurezza.
Ai fini di questa best practice, il concetto di sviluppo sicuro si riferisce al software scritto e agli strumenti o ai sistemi che supportano il ciclo di vita di sviluppo del software.
Anti-pattern comuni:
-
Valutazione delle proprietà di sicurezza di un sistema solo in fase di revisione della sicurezza.
-
Assegnazione di tutte le decisioni in materia di sicurezza al team responsabile della sicurezza.
-
Mancata comunicazione della correlazione tra le decisioni adottate durante il ciclo di vita di sviluppo del software e le aspettative o policy complessive dell'organizzazione.
-
Svolgimento del processo di revisione della sicurezza in una fase troppo tardiva.
Vantaggi dell'adozione di questa best practice:
-
Migliore identificazione dei requisiti aziendali per la sicurezza all'inizio del ciclo di sviluppo.
-
Capacità di identificare e correggere più rapidamente possibili problemi di sicurezza, per una distribuzione più rapida delle funzionalità.
-
Migliore qualità del software e dei sistemi.
Livello di rischio associato alla mancata adozione di questa best practice: medio
Guida all'implementazione
Fornisci formazione agli sviluppatori nell'organizzazione. Un corso iniziale sulla modellazione delle minacce
Passaggi dell'implementazione
-
Per iniziare, presenta agli sviluppatori un corso sulla modellazione delle minacce
per creare ottime basi e abituarli a riflettere sulla sicurezza. -
Fornisci accesso a risorse di formazione AWS Training and Certification
, per i diversi settori o per partner AWS. -
Fornisci formazione sul processo di revisione della sicurezza dell'organizzazione, che spieghi la suddivisione delle responsabilità tra il team responsabile della sicurezza, i team del carico di lavoro e altri stakeholder.
-
Pubblica linee guida self-service su come soddisfare i requisiti di sicurezza, inclusi esempi e modelli di codice, se disponibili.
-
Richiedi regolarmente ai team di sviluppo feedback sull'esperienza durante il processo di revisione della sicurezza e la formazione correlata e usalo per migliorare le procedure.
-
Usa campagne di simulazione o bug bash per ridurre il numero di problemi e migliorare le competenze degli sviluppatori.
Risorse
Best practice correlate:
Documenti correlati:
Video correlati:
Esempi correlati:
Servizi correlati: