Saugaus kūrimo politika

Saugaus kūrimo politika apibrėžia privalomus saugumo reikalavimus visoms programinės įrangos ir sistemų kūrimo iniciatyvoms organizacijoje. Pagrindinis tikslas – užtikrinti, kad saugumo rizikos būtų proaktyviai identifikuojamos, vertinamos ir mažinamos visame programinės įrangos kūrimo gyvavimo cikle (SDLC), nepriklausomai nuo to, ar produktai kuriami viduje, ar perduodami trečiosioms šalims, ar integruoja atvirojo kodo komponentus. Ši politika taikoma kiekvienai su programinės įrangos kūrimu susijusiai aplinkai: kūrimo, testavimo, parengimo, priešgamybinei, taip pat visiems suinteresuotiesiems asmenims, įskaitant kūrėjus, produktų savininkus, DevOps, QA, architektus, projektų vadovus, rangovus, tiekėjus ir paslaugų teikėjus. Esminė politikos dalis – visapusiškas saugumo kontrolės priemonių įterpimas kiekviename kūrimo etape. Nuo reikalavimų apibrėžimo iki saugaus projektavimo, įgyvendinimo, testavimo ir diegimo ši politika nustato ir užtikrina saugaus programavimo standartus, suderintus su autoritetingais šaltiniais, tokiais kaip OWASP, SANS CWE ir SEI CERT, taip pat atitinkamomis kalbai specifinėmis geriausiosiomis praktikomis. Saugumo validavimas nėra pasirenkamas: visas kodas privalo pereiti tarpusavio vertinimą ir automatizuotą saugumo analizę prieš pasiekiant gamybos aplinką, užtikrinant, kad trūkumai būtų šalinami anksti ir išsamiai. Atvirojo kodo ir trečiųjų šalių kodo naudojimas griežtai valdomas per patvirtinimą, programinės įrangos sudėties analizę, licencijų peržiūras ir pažeidžiamumų skenavimą. Vaidmenys ir atsakomybės aiškiai apibrėžti visoms šalims. Vyriausiasis informacijos saugumo pareigūnas (CISO) prižiūri politikos vykdymo užtikrinimą ir tvirtina saugaus programavimo standartus bei sprendimus dėl išimčių. Taikomųjų programų saugumo vadovai arba DevSecOps vadovai atsakingi už gairių rengimą, saugumo testavimo integravimą į CI/CD konvejerius ir trūkumų šalinimo protokolų apibrėžimą. Kūrėjai ir programinės įrangos inžinieriai privalo laikytis saugaus programavimo praktikos, dalyvauti saugumo informuotumo mokymuose ir atlikti tarpusavio kodo peržiūras. Produktų savininkai ir projektų vadovai atsakingi už saugumo įtraukimą į projekto reikalavimus ir pakankamų išteklių paskyrimą. IT ir infrastruktūros komandos privalo apsaugoti visas kūrimo ir parengimo aplinkas, taikyti mažiausių privilegijų principą ir stebėti nesankcionuotus / nesuplanuotus pakeitimus, o trečiųjų šalių kūrėjai privalo pateikti audito įrodymus apie kodo kokybę ir organizacijos saugumo protokolų laikymąsi. Politika nustato aiškius valdysenos reikalavimus, pvz., patvirtintų versijų valdymo sistemų naudojimą su prieigos kontrole, audito pėdsaku ir kodo perkėlimo į aukštesnes aplinkas apsaugomis. Saugumas integruojamas tiek į tradicinius, tiek į judrius kūrimo darbo srautus, o privalomos veiklos apima saugumo architektūros peržiūrą, grėsmių modeliavimą, statinę ir dinaminę analizę (SAST/DAST), kodo pasirašymą ir kruopštų paslapčių bei autentifikavimo duomenų valdymą. Išimčių valdymo procesai detalizuoti: kai apribojimai neleidžia visiškai laikytis reikalavimų, saugumo išimtys reikalauja formalaus pagrindimo, dokumentuotos rizikos analizės, kompensacinių kontrolės priemonių ir peržiūros / patvirtinimo ciklo, kuriame dalyvauja saugumo vadovai ir Vyriausiasis informacijos saugumo pareigūnas (CISO). Visos tokios išimtys reguliariai peržiūrimos ir joms taikomi taisomieji veiksmai. Reguliarios politikos peržiūros ir atnaujinimai yra privalomi reaguojant į metodikų pokyčius, rimtus saugumo incidentus, reglamentavimo pokyčius ar naujus pramonės standartus (pvz., OWASP Top 10 ar SLSA). Pakeitimai yra kontroliuojami, versijuojami ir komunikuojami oficialiais kanalais, užtikrinant organizacijos masto informuotumą ir atskaitomybę. Šis griežtas požiūris suteikia organizacijai tvirtą, audituojamą ir standartais suderintą saugaus kūrimo pagrindą.