Transmiterea jurnalelor, a alertelor și a datelor de telemetrie prin intermediul unei diode de date

Află cum
Utilizăm inteligența artificială pentru traducerile site-urilor și, deși ne străduim să fim exacți, este posibil ca acestea să nu fie întotdeauna 100% precise. Apreciem înțelegerea dumneavoastră.

Cadrul Secure OPSWAT:
Un angajament față de reziliență și securitate prin apărare în profunzime

De OPSWAT
Ultima actualizare:
Împărtășește această postare

La OPSWAT, securitatea este integrată în fiecare etapă a procesului nostru de dezvoltare a software-ului. Cadrul nostru Secure (Ciclul de viațăSoftware ) prezintă metodologiile structurate, practicile de guvernanță și principiile de securitate care garantează că produsele noastre respectă cele mai înalte standarde de calitate și conformitate. 

Construită pe baza ciclului de viață Agile Software Development Lifecycle și aliniată standardelor internaționale și cerințelor de reglementare, abordarea SDLC securizată a OPSWATreflectă un angajament profund față de îmbunătățirea continuă și reziliența împotriva amenințărilor cibernetice moderne. 

Acest blog include informații detaliate despre angajamentul OPSWATîn domeniul securității, inclusiv despre guvernanța securității aplicațiilor noastre, programele de instruire a dezvoltatorilor, structura politicilor și valoarea pe care acest cadru o aduce clienților OPSWAT . Pentru versiunea PDF a acestui blog, descărcați whitepaper-ul nostru.

1. Scopul prezentului document

Prezentul document definește cadrul, programul și procesul OPSWATprivind ciclul de viațăSoftware Secure Software , prezentând cerințele de securitate, așteptările în materie de conformitate și guvernanța. Acesta servește drept politică internă pentru echipele de produs din cadrul OPSWAT, drept așteptare în materie de conformitate pentru furnizori și drept ghid informativ pentru clienții interesați de practicile noastre de dezvoltare securizată.

2. Ce este Secure ? 

SDLC (Ciclul de viațăSoftware ) este un proces alcătuit dintr-o serie de activități planificate menite să dezvolte produse software. Secure integrează securitatea în fiecare fază a ciclului de viață Software — inclusiv colectarea cerințelor, proiectarea, dezvoltarea, testarea și exploatarea/întreținerea.

3. De ce este important un ciclu de viață al dezvoltării software-ului ( Secure ? 

Actorii rău intenționați țintesc sistemele pentru a obține profit sau pentru a le perturba, ceea ce conduce la costuri, riscuri de afaceri și daune reputaționale pentru organizații. 

Conform unui studiu recent, costul remedierii unei erori de securitate este de 30 de ori mai mare atunci când este descoperită în producție decât în timpul etapei de analiză și cerințe.

Implementarea unui ciclu de viață al dezvoltării software-ului Secure oferă următoarele avantaje:

  • Reduce riscul de afaceri prin detectarea defectelor de securitate la începutul procesului de dezvoltare.
  • Reducerea costurilor prin abordarea vulnerabilităților la începutul ciclului de viață.
  • Sensibilizarea continuă a tuturor părților interesate cu privire la securitate.

4. Cadrul Secure OPSWAT

Cadrul Secure OPSWATdefinește metodologii structurate și principii de securitate care ghidează dezvoltarea sigură a software-ului. 

OPSWAT ciclul de viață Software agile Software . Pentru a ne asigura că respectăm pe deplin cerințele clienților noștri, am adaptat cadrul Secure la cerințele de reglementare și la standardele internaționale. Această abordare consolidează angajamentul nostru față de îmbunătățirea continuă și reziliență într-un peisaj al securității cibernetice în continuă evoluție.

Cadrul NISTSoftware Secure Software (SSDF)

Cadrul Secure OPSWATse bazează pe standardul NIST SP 800-218 SSDF (Secure Software Framework), asigurând faptul că securitatea este structurată, măsurabilă și aplicată în mod consecvent în toate etapele procesului de dezvoltare a software-ului.  

Prin integrarea celor mai bune practici SSDF, OPSWAT menține o poziție de securitate proactivă, integrând securitatea în fiecare fază a dezvoltării software-ului - de la planificare și proiectare la implementare, verificare și monitorizare continuă. 

Certificarea conformității produselor individuale este furnizată la cerere clienților noștri din guvernul federal al SUA. A se vedea detaliile de contact de mai jos.

Legea UE privind reziliența cibernetică și Directiva NIS2

Pe măsură ce reglementările în domeniul securității cibernetice continuă să evolueze, OPSWAT angajamentul de a-și alinia cadrul Secure la cerințele normative globale, începând cu Legea UE privind reziliența cibernetică și Directiva NIS2. Prin adaptarea proactivă la standardele emergente, OPSWAT că cadrul său Secure rămâne cuprinzător, conform și rezilient într-un peisaj normativ din ce în ce mai complex.

ISO 27001 Managementul securității informațiilor

Menținerea unui nivel ridicat de securitate a informațiilor este esențială atât pentru integritatea operațională, cât și pentru respectarea cerințelor de reglementare. Cadrul Secure OPSWAT încorporează principiile Sistemului de Management al Securității Informațiilor (ISMS) conform standardului ISO 27001, asigurând integrarea perfectă a controalelor de securitate, a strategiilor de gestionare a riscurilor și a măsurilor de conformitate în funcționarea produselor noastre cloud. 

În calitate atât de furnizor, cât și de consumator al soluțiilor noastre de securitate, OPSWAT aplică politicile de securitate interne ale companiei, asigurându-se că produsele noastre certificate aderă la așteptările de securitate de nivel enterprise înainte de implementare.  

Vedeți mai multe detalii despre conformitate și certificări.

ISO 9001 Managementul calității 

Pentru a asigura cele mai înalte standarde de calitate a software-ului, cadrul Secure OPSWATeste integrat în sistemul de management al calității (QMS) conform standardului ISO 9001. Acest sistem de management al calității stabilește controale de calitate auditate pentru guvernanță, gestionarea schimbărilor și procesele interfuncționale, sprijinind definirea, proiectarea, dezvoltarea, producția și întreținerea produsului și a serviciilor de asistență, extinzându-se dincolo de cercetare și dezvoltare către domenii precum vânzări, asistență pentru clienți, tehnologia informației și resurse umane.  

Această abordare consolidează angajamentul nostru față de o abordare structurată, bazată pe riscuri, a managementului calității, asigurând că securitatea aplicațiilor rămâne o considerație integrală în toate funcțiile de afaceri.

Vedeți mai multe detalii despre conformitate și certificări.

Modelul de maturitate pentru asigurarea Software OWASP (SAMM)

OWASP Software Assurance Maturity Model (SAMM) este un cadru cuprinzător conceput pentru a ajuta organizațiile să evalueze, să formuleze și să implementeze strategii eficiente de securitate software în cadrul SDLC-ului lor existent.

Fiind un cadru open-source, SAMM beneficiază de contribuții globale, asigurând o abordare colaborativă, în continuă evoluție, a securității aplicațiilor. Metodologia sa structurată oferă organizațiilor o modalitate eficientă și măsurabilă de a analiza și de a-și îmbunătăți ciclul de dezvoltare. SAMM sprijină întregul ciclu de viață al dezvoltării. SAMM este agnostic față de tehnologie și procese. SAMM este evolutiv și axat pe riscuri. Prin utilizarea SAMM, echipele obțin informații utile cu privire la lacunele de securitate și își pot îmbunătăți în mod sistematic poziția de securitate pe tot parcursul ciclului de viață al dezvoltării.

Standardul OWASP de verificare a securității aplicațiilor (ASVS)

Standardul OWASP de verificare a securității aplicațiilor (ASVS) este un cadru recunoscut la nivel mondial, conceput pentru a stabili o abordare structurată, măsurabilă și acționabilă a securității aplicațiilor web. Acesta oferă dezvoltatorilor și echipelor de securitate un set cuprinzător de cerințe de securitate și orientări de verificare pentru a se asigura că aplicațiile respectă cele mai bune practici din industrie. 

Fiind un cadru open-source, ASVS beneficiază de contribuții ample din partea comunității globale de securitate, asigurându-se că rămâne la zi cu amenințările emergente și cu evoluția standardelor de securitate.

ASVS servește drept punct de referință pentru maturitatea securității aplicațiilor, permițând organizațiilor să cuantifice postura de securitate și să își îmbunătățească sistematic practicile de dezvoltare sigură. Cu ajutorul listelor de verificare detaliate privind securitatea, care acoperă domenii critice precum autentificarea, autorizarea, gestionarea sesiunilor și controlul accesului, ASVS oferă echipelor de produse îndrumări clare și ușor de aplicat pentru a integra securitatea fără probleme pe parcursul ciclului de viață al dezvoltării software. Adoptând ASVS, organizațiile pot spori asigurarea securității, pot eficientiza eforturile de conformitate și pot reduce în mod proactiv vulnerabilitățile din aplicațiile web moderne. 

ASVS acționează ca o măsură care oferă dezvoltatorilor și proprietarilor de aplicații un mijloc standardizat de a evalua nivelul de securitate și încredere în aplicațiile lor. De asemenea, servește drept orientare pentru dezvoltatorii de controale de securitate, subliniind măsurile de securitate necesare pentru a îndeplini cerințele de securitate ale aplicațiilor. ASVS este o bază fiabilă pentru definirea cerințelor de verificare a securității în contracte.

5. Guvernanța și formarea în domeniul securității aplicațiilor 

Programul Secure OPSWAT transpune Cadrul Secure într-un sistem structurat de guvernanță, asigurându-se că cerințele de securitate sunt documentate, menținute, evaluate și îmbunătățite continuu, garantând totodată că toate părțile implicate beneficiază de o pregătire adecvată. Acesta stabilește rolurile, responsabilitățile și măsurile de securitate pentru mediile de dezvoltare, testare și producție, precum și pentru securitatea fluxului de lucru, definind Mediul Secure și impunând aplicarea politicilor de securitate în cadrul Procesului Secure .

Roluri și responsabilități

Management la nivel înalt - Chief Product Officer (CPO)

Directorul de produs (CPO) este responsabil de supravegherea strategică și punerea în aplicare a Programului Secure în cadrul tuturor echipelor de produs, precum și a altor programe de cercetare și dezvoltare (C&D), cum ar fi Programul de asigurare a calității (QA) și Programul de experiență a utilizatorului (UX), asigurând o abordare coerentă în vederea dezvoltării de software sigur, de înaltă calitate și centrat pe utilizator.

În calitate de principal responsabil pentru gestionarea riscurilor legate de toate produsele și procesele de cercetare și dezvoltare, CPO-ul încredințează departamentului de Operațiuni de Cercetare și Dezvoltare responsabilitatea pentru Programul Secure și se asigură că liderii de produs impun aplicarea Programului Secure și pun în aplicare în mod eficient Procesul Secure în cadrul echipelor de produs. În acest rol, CPO-ul aprobă modificările aduse Programului Secure , precum și abaterile de la Procesul Secure .

De asemenea, CPO monitorizează rezultatele Programului Secure , urmărind nivelul de maturitate în materie de securitate, vulnerabilitățile, conformitatea și activitățile de dezvoltare, pentru a menține un nivel ridicat de securitate al produselor.

În plus, CPO este responsabil de alocarea și aprobarea bugetului pentru securitatea activităților de cercetare și dezvoltare, asigurându-se că sunt alocate resurse adecvate programului Secure .

Operațiuni de cercetare și dezvoltare

Echipa de operațiuni de cercetare și dezvoltare (R&D Operations) este alcătuită din lideri în domeniul ingineriei software și ingineri specializați în securitatea aplicațiilor, asigurând respectarea cerințelor de reglementare și de securitate. Șeful echipei de operațiuni de cercetare și dezvoltare este responsabilul pentru riscuri atât în ceea ce privește cadrul Secure , cât și serviciile centralizate ale mediului Secure , supraveghind îmbunătățirea continuă a acestora și integrarea lor în procesele de dezvoltare OPSWAT. 

În calitate de responsabil al Programului Secure , departamentul Operațiuni de Cercetare și Dezvoltare (R&D) are sarcina de a menține și dezvolta programul în concordanță cu politicile de securitate ale companiei și cu celelalte programe de cercetare și dezvoltare. Aceasta implică coordonarea cu responsabilii de produs în ceea ce privește planurile strategice, definirea și monitorizarea indicatorilor-cheie de performanță (KPI) în domeniul securității pentru a îmbunătăți anual nivelurile de maturitate, precum și ajustarea cerințelor ASVS, după cum este necesar.  

Colaborarea este esențială pentru acest rol, întrucât departamentul de Operațiuni de Cercetare și Dezvoltare coordonează Echipa Virtuală de Securitate a Aplicațiilor, sprijină echipele de produs în implementarea Programului Secure , verifică și raportează cu privire la toate nivelurile de securitate ale produselor, asigură formarea continuă în domeniul securității și oferă îndrumare specializată privind cele mai bune practici în materie de securitate a aplicațiilor. 

În plus, departamentul de Cercetare și Dezvoltare gestionează serviciile centralizate ale Mediului Secure , asigurând respectarea politicilor de securitate ale companiei, îndeplinind rolul de custode al codului sursă și supraveghind configurarea instrumentelor de integrare continuă/implementare continuă (CI/CD). Aceasta include gestionarea colectării probelor în cadrul fluxului de lucru CI/CD și aplicarea unor controale stricte de acces.

Echipe de produse

Echipa de produs este compusă din liderul de produs, ingineri software, dezvoltatori, ingineri QA, ingineri de fiabilitate a site-ului (SRE) și alți membri ai echipei cu diferite roluri, în funcție de nevoile specifice ale produsului. 

Liderul de produs este responsabilul cu gestionarea riscurilor pentru produsul său, coordonând toți membrii echipei și asigurându-se că procesul de dezvoltare respectă procesul Secure . Echipa este responsabilă de executarea și implementarea programului OPSWAT Secure , asigurându-se că securitatea este integrată pe tot parcursul procesului de dezvoltare. 

Echipa poate personaliza procesele, instrumentele și fluxul CI/CD, definind criteriile de lansare și măsurile de integritate, documentând în același timp orice abateri de la procesul Secure . În cadrul echipei este desemnat un responsabil cu securitatea, care are sarcina de a participa la ședințele legate de securitate ale Echipei virtuale de securitate a aplicațiilor și de a asigura o comunicare eficientă în cadrul echipei cu privire la aspectele de securitate. 

În plus, echipa este responsabilă pentru raportarea dovezilor privind securitatea produsului, menținerea transparenței și asigurarea conformității continue cu standardele de securitate.

Echipa virtuală de securitate a aplicațiilor

Echipa virtuală de securitate a aplicațiilor este o echipă multiprodus formată din ingineri de securitate a aplicațiilor din cadrul departamentului de operațiuni de cercetare și dezvoltare și din ingineri desemnați în calitate de campioni de securitate din fiecare echipă de produs, toți fiind concentrați pe asigurarea securității produselor OPSWAT. 

În cadrul întâlnirilor periodice, responsabilii cu securitatea primesc informații actualizate cu privire la subiecte precum modificările indicatorilor-cheie de performanță (KPI) în materie de securitate și utilizarea recomandată a instrumentelor CI/CD legate de securitate în cadrul fluxului de lucru. Aceste întâlniri oferă, de asemenea, un cadru în care părțile implicate își pot împărtăși experiențele, pot discuta aspecte legate de securitate și pot iniția procesul Secure . În plus, aceștia participă activ la analiza cauzelor principale (RCA) pentru a îmbunătăți nivelul de securitate și a preveni vulnerabilitățile recurente.

Strategia programului de securitate

Priorități strategice

Planul strategic al OPSWATpentru securitatea aplicațiilor este aliniat la prioritățile sale de afaceri și la apetitul pentru risc, luând în considerare nivelul de maturitate al fiecărui produs și expunerea acestuia la amenințările de securitate. Accentul se pune în primul rând pe protejarea produselor cu risc ridicat, în special a celor cu o bază mare de clienți, cu implementări orientate către public sau cu integrare în infrastructuri critice.

Bugetul de securitate

Un buget dedicat securității în cadrul operațiunilor de cercetare și dezvoltare este alocat pentru inițiative și instrumente cheie de securitate, inclusiv audituri ale terților, teste independente de penetrare și teste automate de securitate în cadrul procesului CI/CD.

Automatizare și verificare independentă

Pentru a minimiza riscurile de securitate ale produselor, OPSWAT prioritizează măsurile preventive de securitate pe baza evaluărilor riscurilor. Aceasta include integrarea scanării automate a securității în cadrul orchestrării conductei CI/CD, permițând detectarea timpurie și remedierea vulnerabilităților pe parcursul ciclului de viață al dezvoltării. 

În plus, evaluările interne, auditurile efectuate de terți și testele de penetrare independente consolidează securitatea prin eliminarea dependenței de un singur punct și prin asigurarea unui proces de verificare structurat, pe mai multe niveluri. Această abordare consolidează eforturile de identificare și atenuare a riscurilor, asigurând că vulnerabilitățile sunt abordate în mod cuprinzător și validate de profesioniști independenți în domeniul securității.

Prioritizarea securității în infrastructurile critice

Protecția În contextul PIC (protecția infrastructurilor critice), securitatea rămâne cea mai mare prioritate, în special în cazurile rare în care aceasta intră în conflict cu cerințele de reglementare sau cu atributele de calitate. Procesul decizional urmează aceste principii directoare:

  • Securitatea are prioritate față de conflictele de reglementare legate de confidențialitate, mediu sau sustenabilitate. 
  • Securitatea și fiabilitatea depășesc alte atribute de calitate, cum ar fi utilizabilitatea, capacitatea de întreținere și compatibilitatea (conform ISO/IEC 25010). 
  • Integritatea și disponibilitatea au prioritate față de confidențialitate în cazurile în care fiabilitatea sistemului este mai importantă decât restricționarea accesului (conform ISO/IEC 27001).

Formare și conștientizare privind securitatea

În cadrul Programului Secure , pe lângă cursurile generale de sensibilizare în materie de securitate organizate de companie, se impune ca toți angajații implicați în procesul de dezvoltare securizată să urmeze cursuri de formare în domeniul securității, adaptate rolului fiecăruia. Toate cursurile sunt înregistrate în sistemele de gestionare a formării profesionale ale companiei. Programele de formare și de sensibilizare sunt revizuite periodic pentru a integra noile tendințe în materie de securitate și pentru a asigura respectarea continuă a standardelor de securitate.

Inițiative de sensibilizare

  • Testarea securității infrastructurii și a personalului în conformitate cu inițiativele de securitate ale companiei. 
  • Scanarea internă a vulnerabilităților produselor și infrastructurii. 
  • Scanează zilnic rețelele interne și externe. 
  • Campanii de inginerie socială.

Formări specifice rolului

  • Campanii de formare pentru echipele de produse, care acoperă OWASP Top 10, testarea securității API și formarea în domeniul securității cloud. 
  • Campanii de formare pentru echipele de produse privind politicile prezentate mai jos. 
  • Dezvoltatorii participă la cursuri de formare continuă în domeniul codării sigure prin intermediul unei platforme de învățare dedicate.

Internare

  • Instruirea noilor angajați include toate cursurile de securitate relevante în funcție de rolul lor. 
  • Campionii în materie de securitate sunt supuși unei formări specifice de integrare atunci când se alătură echipei virtuale de securitate a aplicațiilor.

Măsurarea și îmbunătățirea continuă

OPSWAT angajează să-și îmbunătățească în mod continuu programul Secure prin măsurarea structurată a performanței, evaluări ale gradului de maturitate și actualizări periodice, pentru a asigura eficacitatea continuă a securității.  

Pentru a menține o poziție de securitate solidă, OPSWAT utilizează o abordare sistematică pentru urmărirea și îmbunătățirea performanțelor de securitate. Aceasta include evaluări trimestriale ale maturității securității produselor, revizuiri interne ale securității pentru a verifica respectarea celor mai bune practici și definirea indicatorilor-cheie de performanță (KPI) anual, care sunt măsurați trimestrial.  

Pentru a măsura în mod eficient nivelul de securitate al aplicațiilor, OPSWAT echipele folosind indicatori structurați. Maturitatea securității produselor este evaluată pentru fiecare echipă în parte pe baza cadrului SAMM, oferind o măsură cuantificabilă a progresului în materie de securitate. În plus, produsele sunt supuse unei evaluări de conformitate cu ASVS pentru a asigura respectarea cerințelor de verificare a securității. Conformitatea cu procesul Secure este monitorizată și evaluată îndeaproape, iar atingerea obiectivelor KPI se bazează pe dovezi concrete, asigurându-se astfel că atât nivelul de securitate, cât și îmbunătățirile în materie de securitate sunt măsurabile și pot fi puse în practică. Toate echipele de produs sunt obligate să îndeplinească obiectivele de maturitate în materie de securitate ca parte a evaluării anuale a performanței. 

Ca parte a eforturilor sale de îmbunătățire continuă, OPSWAT introduce periodic noi inițiative de securitate a produselor pentru a crește nivelul de maturitate și a consolida securitatea aplicațiilor. Aceste inițiative includ actualizarea politicilor de securitate pentru a aborda amenințările emergente, integrarea de noi instrumente de securitate pentru o detecție și o prevenire îmbunătățite și extinderea obiectivelor KPI pentru a stimula progresul continuu. 

Pentru a consolida și mai mult guvernanța în materie de securitate, OPSWAT o revizuire anuală a cadrului Secure , integrând concluziile analizelor cauzelor fundamentale ale incidentelor de securitate anterioare, evaluările tendințelor privind vulnerabilitățile, precum și îmbunătățirile aduse proceselor și politicilor existente.  

Această abordare structurată a îmbunătățirii continue asigură că OPSWAT menține o poziție proactivă și rezistentă în ceea ce privește securitatea produselor, adaptându-se în mod eficient la provocările în materie de securitate cibernetică în continuă evoluție și îndeplinind în același timp obiectivele de securitate operaționale și de reglementare.

Procesul Secure

Procesul Secure pune în practică Programul Secure prin definirea măsurilor de securitate pe care echipele trebuie să le respecte, inclusiv activități specifice precum verificările automate de securitate și mecanismele de verificare din fiecare fază de dezvoltare. Acest proces este aliniat la alte programe cheie de cercetare și dezvoltare, precum Programul de asigurare a calității și Programul de experiență a utilizatorului, asigurând o abordare coerentă pentru o dezvoltare de software sigură, de înaltă calitate și orientată către client. 

Procesul Secure este descris în detaliu în secțiunile următoare:

Procesul Secure este un proces de nivel înalt; echipele îl pot implementa într-o manieră extinsă și personalizată, cu condiția ca nivelul de securitate al procesului să fie menținut cel puțin la același nivel. Orice abatere de la procesul Secure trebuie documentată și aprobată.

Politici în cadrul programului Secure

Programul Secure cuprinde diverse politici care trebuie aprobate și acceptate în mod oficial de către echipele de produs pentru a asigura respectarea cerințelor acestuia. Respectarea acestor politici este obligatorie la nivel intern, iar fiecare echipă are responsabilitatea de a le analiza, semna și pune în aplicare în cadrul proceselor sale de dezvoltare. 

Mai jos este prezentată o listă a politicilor-cheie, împreună cu scopurile lor respective. Pentru politicile cu semnificație externă, în prezentul document sunt incluse detalii suplimentare.

PoliticăDescriere
Politica de verificare a securității aplicațiilorAceastă politică definește în detaliu verificarea securității produselor, a se vedea mai multe detalii în secțiunea Testarea și verificarea securității aplicațiilor.
Politica privind integritatea versiuniiAceastă politică definește cerințele de semnare a codului, a se vedea mai multe detalii în secțiunea Integritatea versiunii.
Politica de gestionare a SBOMScopul politicii de gestionare SBOM este de a asigura starea actualizată a registrului componentelor terțe utilizate. Aceasta este o bază pentru alte politici care abordează riscurile juridice și de securitate ale terților.
Politica de securitate a Supply ChainAceastă politică definește condițiile de utilizare a componentelor din surse deschise sau de la terți, precum și un proces de introducere a unor noi componente din surse deschise sau de la terți, inclusiv evaluarea furnizorilor, a se vedea mai multe detalii în secțiunea Evaluarea furnizorilor.
Politica de Vulnerability Management produselorAceastă politică definește termenele de remediere a vulnerabilităților din surse deschise, de la terți și interne și stabilește proceduri pentru gestionarea patch-urilor de securitate pentru toate produsele. Aceasta garantează că vulnerabilitățile sunt evaluate, prioritizate și rezolvate în termenele definite.
Politica de gestionare a componentelor scoase din uzComponentele scoase din uz (EOL) reprezintă un risc de securitate și, prin urmare, nu este permisă utilizarea lor în produsele noastre. Această politică descrie gestionarea situațiilor neprevăzute care apar atunci când o componentă ajunge la sfârșitul ciclului de viață.
Politica de conformitate privind confidențialitatea produselorAceastă politică definește cerințele de respectare a confidențialității pentru produse și controalele de securitate adecvate care urmează să fie aplicate.
Politica de manipulare a mostrelor de malwareAceastă politică definește procedurile pentru manipularea în condiții de siguranță a mostrelor de programe malware vii pentru a preveni incidentele malware în mediile noastre.
Politica de utilizare a IAPolitica de utilizare a AI restricționează utilizarea inteligenței artificiale (AI) în dezvoltare pentru a asigura securitatea clienților noștri. Inteligența artificială servește exclusiv ca instrument de asistență, în timp ce dezvoltatorii individuali rămân pe deplin responsabili pentru procesul de dezvoltare. Instrumentele AI pot fi utilizate numai în modul privat, prevenind strict orice exfiltrare a codului sursă sau a altor informații legate de securitate.
Politica de divulgare a vulnerabilității produselorPrezenta politică definește rolurile și responsabilitățile legate de gestionarea vulnerabilităților, acoperind întregul ciclu de viață, de la detectare și remediere — așa cum este descris în Vulnerability Management produselor — până la divulgarea coordonată; pentru mai multe detalii, consultați secțiunea Secure și întreținere Secure ”.

6. Secure și evaluarea riscurilor

În cadrul procesului Secure , cerințele de securitate sunt monitorizate, documentate și menținute pe tot parcursul ciclului de viață al dezvoltării. Furnizorii terți au obligația de a recunoaște și de a respecta standardul ASVS, asigurând astfel coerența așteptărilor în materie de securitate și respectarea Politicii de conformitate privind confidențialitatea produselor pentru toate componentele software. 

Securitatea este integrată în fiecare etapă a ciclului de viață al dezvoltării. Responsabilitatea de a ține cont de așteptările procesului Secure și de a le promova în cadrul echipelor lor revine responsabililor cu securitatea. 

Setul de cerințe Secure include cerințe de securitate funcționale și nefuncționale bazate pe ASVS. Modelele de referință sunt furnizate de departamentul de Cercetare și Dezvoltare pentru a sprijini deciziile de proiectare, împreună cu ajustările documentate ale cerințelor ASVS, dacă este necesar (de exemplu, cerințe mai stricte privind criptarea).

Modelarea amenințărilor

Modelarea amenințărilor este un proces structurat de identificare a amenințărilor și a vulnerabilităților încă din primele etape ale ciclului de viață al dezvoltării. Aceasta face parte integrantă din procesul Secure și se desfășoară periodic — cel puțin o dată pe an sau ori de câte ori sunt introduse noi funcționalități sau modificări arhitecturale. Echipele de produs realizează modelarea amenințărilor prin definirea obiectivelor de securitate, identificarea resurselor și a dependențelor, analizarea scenariilor potențiale de atac și atenuarea amenințărilor identificate.  

O abordare îmbunătățită încorporează analiza fluxului de date și practici consacrate de modelare a amenințărilor (de exemplu, modelul STRIDE), asigurând o evaluare cuprinzătoare a tuturor produselor. Atunci când este necesar, sunt inițiate analize de securitate pentru a valida conformitatea cu cerințele de securitate și pentru a aborda în mod proactiv riscurile potențiale. Deciziile de proiectare sunt documentate cu atenție, iar orice riscuri rămase sunt urmărite în permanență pe parcursul ciclului de viață al produsului.

Evaluarea și diminuarea riscurilor

Riscurile de securitate ale aplicațiilor sunt evaluate folosind surse multiple, inclusiv amenințările reziduale identificate în timpul modelării amenințărilor, vulnerabilitățile de securitate recunoscute pe scară largă, cum ar fi cele din Top 10 OWASP și Top 25 SANS, și controalele de securitate lipsă pe baza orientărilor ASVS. Factorii de risc suplimentari includ deficiențe în gestionarea secretelor pe parcursul proceselor de creare, implementare și lansare, precum și vulnerabilități în componentele open-source și ale terților. 

În urma evaluării riscurilor, sunt elaborate planuri de atenuare pentru a reduce gravitatea riscurilor identificate, luând în considerare atât impactul, cât și probabilitatea. Aceste planuri, împreună cu riscurile și etapele de atenuare corespunzătoare, sunt documentate temeinic. 

Riscurile reziduale sunt urmărite pe tot parcursul ciclului de viață al produsului, fac obiectul unei revizuiri periodice și trebuie să fie recunoscute în mod oficial de către proprietarii riscurilor. Acestea sunt, de asemenea, încorporate în rapoartele interne de publicare pentru a menține vizibilitatea și responsabilitatea. 

Atunci când este necesar, sunt inițiate evaluări de securitate pentru a asigura conformitatea cu cerințele de securitate și pentru a aborda în mod proactiv riscurile potențiale, consolidând poziția generală de securitate a produsului.

Cele mai bune practici în materie de Secure

Principiile Secure reprezintă ansambluri de proprietăți, comportamente, modele de proiectare și practici de implementare dorite pentru un produs.  

Echipa de produs trebuie să aplice principiile legate de funcționalitățile de securitate, precum „privilegiul minim”, „securitate în caz de eșec”, „stabilirea Secure ” și „mecanismul cel mai puțin comun”. 

Echipa de produs trebuie să aplice principiile legate de arhitectura software sigură, cum ar fi apărarea în adâncime, principiul designului deschis, valorificarea componentelor existente.  

Echipa de produs trebuie să aplice principiile legate de experiența utilizatorului, cum ar fi acceptabilitatea psihologică și economia mecanismului în proiectare, în conformitate cu programul privind experiența utilizatorului.  

Echipele de produs trebuie să respecte aceste principii și toate celelalte principii de ultimă generație necesare pentru a preveni defectele de securitate în arhitectură și caracteristicile de securitate sau nesecuritate.  

Pentru a sprijini echipele de produs în implementarea principiilor de Secure , departamentul de operațiuni de cercetare și dezvoltare oferă o serie de orientări bazate pe aceste principii, împreună cu modele de referință în materie de securitate pentru funcționalitățile critice de securitate. 

Echipa de produs trebuie să creeze un plan de testare a securității în conformitate cu programul de asigurare a calității, care să definească cazurile de testare a securității pentru cerințele de securitate funcționale și nefuncționale, inclusiv testele pentru cazurile de utilizare abuzivă și abuzivă, datele de testare, inclusiv modelele de atac (de exemplu, DOM based cross site scripting, Cross Site Scripting Injection) și instrumentele de testare.

7. Secure , compilare și distribuire Secure

Ca parte a procesului Secure , care include implementarea, compilarea și punerea în funcțiune, se urmărește prevenirea vulnerabilităților și a defectelor, pe baza Secure și a evaluării riscurilor. Setul de cerințe conține așteptări privind cerințele de securitate funcționale și nefuncționale bazate pe ASVS, precum și metodologia de dezvoltare și testare securizată, care se bazează pe mediul Secure .  

În timpul implementării, trebuie aplicate cele mai bune practici Secure , revizuirea Secure și detectarea timpurie a vulnerabilităților de securitate. Echipele trebuie să respecte Politica Supply Chain (inclusiv aspectele legate de integrarea furnizorilor și de software-ul open source), Politica privind utilizarea IA și Politica privind gestionarea eșantioanelor de malware. În timpul procesului de compilare și implementare, sunt obligatorii Secure și implementarea Secure , cu utilizarea unui pipeline CI/CD centralizat, precum și separarea atribuțiilor.

Cele mai bune practici în materie de Secure

În timpul implementării, echipele de produs trebuie să urmeze cele mai bune practici de codare securizată independente de limbaj. Acestea trebuie să valideze datele de intrare, să igienizeze datele trimise către alte sisteme, să elimine avertismentele compilatorului, să stabilească mesaje de eroare securizate, să aplice codificarea de ieșire, dacă este cazul, să pună în aplicare înregistrarea securizată fără a expune date sensibile și să urmeze liniile directoare adecvate privind gestionarea erorilor și a excepțiilor. De asemenea, echipele trebuie să se asigure că criptografia, în cazul în care este utilizată, se bazează pe algoritmi aprobați și pe generarea de numere aleatorii sigure și să gestioneze în siguranță resursele sistemului prin manipularea sigură a memoriei, prevenirea condițiilor de cursă și evitarea blocajelor prin sincronizarea corespunzătoare. 

Echipele de produs sunt sfătuite, de asemenea, să urmeze liniile directoare privind codarea securizată specifice fiecărei limbi, puse în aplicare de instrumentele SAST, după cum se exemplifică mai jos: 

Pentru Java, echipele ar trebui să se asigure că cheile utilizate în operațiunile de comparare sunt imuabile, să utilizeze SecureRandom în loc de Random și să evite deserializarea nesigură prin validarea sau restricționarea claselor de intrare.

În C++, se recomandă detectarea și gestionarea erorilor de alocare a memoriei, prevenirea depășirii limitelor bufferului prin verificarea limitelor și utilizarea de pointeri inteligenți precum std::unique_ptr() și evitarea funcțiilor nesigure precum strcpy() și sprintf(). 

Pentru Python, dezvoltatorii ar trebui să evite utilizarea funcțiilor precum eval() sau exec() pentru a reduce riscurile de injectare a codului și să prefere formatele de serializare securizate, precum modulul json, în locul pickle atunci când procesează date care nu sunt de încredere.

Revizuirea Secure

În cadrul proceselor de evaluare a securității prevăzute de Politica de verificare a securității aplicațiilor, revizuirea codului din perspectiva securității este un element important și se realizează în funcție de tehnologia de dezvoltare utilizată, aplicându-se diverse liste de verificare pentru revizuirea Secure , bazate peseria OWASP Cheatsheet.

Detectarea timpurie a deficiențelor de securitate

Conform cerințelor politicii de verificare a securității aplicațiilor, detectarea timpurie a defectelor de securitate este o componentă esențială a procesului de dezvoltare. Pentru a minimiza potențialele probleme de securitate, este obligatorie o abordare de tip "fail to build", asigurându-se că codul nesigur nu trece prin pipeline. În plus, este impusă o abordare de tip "fail to merge", care impune echipelor să remedieze orice probleme detectate înainte ca modificările să poată fi integrate. Rezolvarea defectelor detectate este esențială pentru îndeplinirea criteriilor de lansare.

Secure și implementare Secure

În cadrul procesului Secure , utilizarea unui pipeline CI/CD centralizat și coordonat este obligatorie pentru a asigura compilări sigure și pentru a preveni atacurile asupra lanțului de aprovizionare. Jurnalele de audit, de compilare și de implementare sunt generate, păstrate și analizate conform prevederilor din politicile de securitate ale companiei. 

Fiecare echipă de produs este responsabilă pentru respectarea configurațiilor de compilare și de construire securizate, acolo unde este cazul. Acestea trebuie să utilizeze opțiuni de compilare securizate, să dezactiveze codul de depanare, să consolideze timpii de execuție pentru limbajele interpretate, să fixeze versiunile dependențelor, să asigure compilări reproductibile și să consolideze imaginile containerului. Configurațiile utilizate trebuie să fie documentate și revizuite periodic. 

În conformitate cu principiul separării atribuțiilor, dezvoltatorii și alți membri ai echipei care au acces la cod sau la construcție nu pot avea acces la mediul de producție. În cazul produselor cloud, numai inginerii care se ocupă de fiabilitatea site-ului produsului sunt autorizați să implementeze în mediul de producție.

Valorificarea componentelor existente

Echipele de produse aderă la cele mai bune practici din industrie pentru anumite funcții de securitate (de exemplu, criptografie conformă cu FIPS 140-3). În conformitate cu principiul Open Design, folosim componente open-source acceptate pe scară largă pentru aceste funcții de securitate.

Pentru a ne asigura că componentele terților rămân actualizate, aderăm la politica noastră de gestionare a componentelor scoase din uz.

Componentele dezvoltate intern, fie că sunt destinate utilizării interne, fie că sunt utilizate ca subcomponente în alte produse, trebuie să respecte procesul Secure și să îndeplinească aceleași cerințe de securitate.

Produsele noastre cloud utilizează componente comune, dezvoltate intern, pentru a implementa caracteristici de securitate specifice.

8. Testarea și verificarea securității aplicațiilor 

Conform Politicii noastre de verificare a securității aplicațiilor, implementăm o documentare formală și un sistem de urmărire a problemelor identificate și utilizăm instrumente automatizate pentru verificarea continuă. În cadrul procesului Secure , verificările de securitate sunt aplicate și monitorizate în fiecare etapă a ciclului de viață al dezvoltării software-ului (SDLC), pentru a respecta cerințele de conformitate. Scopul acestora este identificarea eficientă a eventualelor vulnerabilități de securitate. Problemele de securitate apărute sunt investigate de către echipe și rezolvate în termenele stabilite. Aceste termene fac parte din indicatorii-cheie de performanță (KPI) definiți în domeniul securității.

Recenzii de securitate

  • Revizuirea arhitecturii și a proiectării: Inginerii seniori și membrii echipei virtuale de securitate a aplicațiilor evaluează aspectele de securitate în modificările de proiectare, inclusiv criptarea, autentificarea, autorizarea, auditarea, întărirea sistemului, arhitectura sistemului și a rețelei. 
  • Revizuiri ale codului: pe lângă revizuirile regulate ale codului de către ingineri colegi și seniori, membrii echipei virtuale de securitate a aplicațiilor revizuiesc modificările pentru a preveni defectele comune precum injectarea, gestionarea erorilor și configurațiile nesigure.

Detectarea timpurie a problemelor de securitate

  • Scanarea secretului pentru a evita exfiltrarea secretului și pentru a asigura o bună proiectare și o implementare sigură a gestionării secretului.
  • Instrumente SAST (Static Application Security Testing) pentru detectarea vulnerabilităților (de exemplu, SQL Injection, Buffer Overflows).
  • SCA (Software Composition Analysis) este utilizat pentru a detecta vulnerabilitățile open-source.
  • DAST (Dynamic Application Security Testing - Testarea dinamică a securității aplicațiilor) este utilizat pentru a găsi probleme legate de timpul de execuție (de exemplu, defecte de memorie) și de mediu

Instrumentele care sunt definite în secțiunea Detectarea timpurie a problemelor de securitate trebuie utilizate în mod obligatoriu în conducta CI/CD. Toate vulnerabilitățile identificate trebuie remediate în conformitate cu politica de Vulnerability Management produsului.

Testarea securității

Metodologiile de testare a securității, atât automatizate, cât și manuale, sunt utilizate în conformitate cu programul de asigurare a calității care execută planul de testare a securității.

  • Instrumentele DAST sunt utilizate pentru detectarea vulnerabilităților în timpul rulării, testarea configurațiilor implicite și testarea rezistenței sistemului după aplicarea sugestiilor de întărire. Testele vizează atât software-ul, cât și infrastructura de bază. 
  • Pentru a evita regresia cerințelor și caracteristicilor de securitate, utilizăm instrumente de testare automată pentru a verifica în permanență integritatea caracteristicilor și a controalelor de securitate. 
  • Testarea manuală se aplică atunci când instrumentele automatizate nu sunt suficiente, cum ar fi în cazul verificării controalelor pentru scurgerea de informații, identificarea defectelor de logică de afaceri și a vulnerabilităților contextuale. 
  • Scanarea malware automată a artefactelor din ciclul de viață al dezvoltării face parte, de asemenea, din etapele care se concentrează pe prevenirea problemelor de securitate.

Testarea penetrării

Testele de penetrare sunt efectuate în mod regulat și la cerere atât de echipa internă de testare a penetrării, cât și de furnizori externi independenți. Campionii de securitate triază vulnerabilitățile găsite pentru a determina dacă problemele necesită modificări de cod sau de configurare. Pentru vulnerabilitățile care necesită modificări ale codului, se creează dosare de produse care sunt rezolvate cât mai rapid posibil. 

Raportul testului de penetrare pentru produsele individuale este furnizat clienților noștri la cerere. Contactați-ne.

9. Secure 

Ca parte a procesului Secure , procesul de lansare impune respectarea criteriilor de lansare, asigurând atât conformitatea cu procesul Secure , cât și securitatea generală a produsului, pe baza rezultatelor obținute în urma testării și verificării securității aplicației. Gestionarea versiunilor produsului joacă un rol crucial în menținerea îmbunătățirilor de securitate de la o versiune la alta, în prevenirea regresiei legate de securitate și în menținerea nivelului de securitate atins, ca cerință fundamentală pentru fiecare versiune. 

Procesul de lansare include generarea de rapoarte interne de lansare, care documentează riscurile reziduale și orice probleme de securitate restante. Aceste rapoarte trebuie să fie aprobate în mod oficial de către șeful de produs. În plus, notele de lansare externe comunică modificările și corecțiile legate de securitate ca parte a lansării oficiale a produsului. 

Pentru produsele cloud, implementarea urmează o abordare automatizată de tip "fail to deploy", asigurându-se că sunt lansate numai build-uri securizate. Testarea și verificarea securității aplicațiilor sunt integrate în conducta de implementare, cu o strategie operațională de tip pull, mai degrabă decât push, consolidând validarea securității înainte de implementarea producției. 

Conform politicii de gestionare a SBOM, fiecare versiune include oBill of Materials (SBOM) Software Bill of Materials (SBOM) pentru a menține trasabilitatea provenienței componentelor, susținând transparența și securitatea lanțului de aprovizionare. Toate fișierele necesare lansării sunt arhivate în siguranță pentru a asigura accesibilitatea pe termen lung.

Integritatea eliberării

În conformitate cu politica de integritate a versiunilor, pentru a susține integritatea și securitatea versiunilor de produse, se aplică un sistem structurat de versionare (de exemplu, Semantic Versioning), care asigură o trasabilitate clară a modificărilor și o perioadă de păstrare definită pentru toate artefactele publicate, inclusiv documentația. Pentru a spori și mai mult securitatea, artefactele software sunt semnate digital sub numele companiei, cu amprente digitale SHA publicate care permit utilizatorilor să verifice autenticitatea și să detecteze orice încercare de falsificare. 

Documentația în versiuni însoțește fiecare versiune, oferind îndrumări detaliate privind metodele de verificare a integrității, procedurile de instalare sigură, cele mai bune practici de configurare și măsurile de întărire a sistemului. Aceste resurse ajută utilizatorii să implementeze eficient controalele de securitate, reducând potențialele suprafețe de atac. În plus, Acordul de licență pentru utilizatorul final (EULA) este inclus pentru a stabili obligațiile de conformitate și a menține transparența juridică. 

SBOM pentru produse individuale este furnizat clienților noștri la cerere. Contactați-ne.

10. Secure și întreținere Secure

În cadrul procesului Secure din domeniul operațiunilor și întreținerii, toate produsele și serviciile trebuie să respecte politicile de securitate ale companiei, inclusiv respectarea Planului de răspuns la incidente de securitate și, după caz, a Planului de continuitate a activității (BCP). 

Operarea mediilor de producție cloud intră în responsabilitatea echipei SRE (Site Reliability Engineering). În conformitate cu principiul separării atribuțiilor, membrii echipei SRE care au acces la mediile de producție nu au acces la mediile de dezvoltare, inclusiv la codul sursă și la conducta de compilare. 

Echipa SRE actualizează în permanență infrastructura cu patch-uri de securitate și o actualizează pentru a se alinia cu versiunile LTS (Long-Term Support) furnizate de furnizori sau livrate de echipele de produse, în conformitate cu politica de gestionare a componentelor scoase din uz. 

Aderăm la o politică de divulgare a vulnerabilităților produselor care definește rolurile și responsabilitățile în gestionarea vulnerabilităților de securitate. 

Echipa SRE triază incidentele de securitate care afectează produsele, cu implicarea campionilor de securitate, dacă este necesar.  

Construită în jurul Politicii de Vulnerability Management produselor, această politică extinde procesul de remediere R&D prin încorporarea:

  • Raportarea vulnerabilităților externe și a incidentelor, asigurând tratarea promptă a problemelor raportate. 
  • Raportarea internă a incidentelor, declanșată atunci când este necesar în funcție de gravitate. 
  • RCA trebuie efectuat după orice incident de securitate major sau recurent pentru a identifica problemele recurente și a preveni vulnerabilitățile viitoare.
  • Actualizări Secure ), implementate atunci când este necesar pentru a consolida măsurile de securitate. 
  • Odată ce remedierea este finalizată, o dezvăluire coordonată a vulnerabilității, asigurând transparența.

Raportarea vulnerabilității descoperite de părți externe. Contactați-ne.

11. Mediu Secure

Mediile de dezvoltare, testare și producție sunt separate în siguranță pentru a preveni accesul neautorizat. Fiecare mediu urmează linii de bază stricte de întărire și protocoale de securitate a punctelor finale. Mediile de dezvoltare trebuie să fie conforme cu politicile de securitate ale companiei.

Protecția Endpoint

Ca parte a protecției punctelor finale, toate dispozitivele deținute de OPSWAT sunt monitorizate în ceea ce privește vulnerabilitățile, software-ul instalat, patch-urile instalate și conformitatea cu politicile de securitate ale companiei. În caz de neconformitate, sunt luate măsuri restrictive pentru a limita accesul la resursele companiei. 

Resursele clasificate cu o categorie de risc ridicat pot fi accesate numai prin intermediul rutelor de acces controlat (VPN). Dispozitivele din afara rețelei companiei sunt obligate să utilizeze canale securizate pentru a accesa resursele de cercetare și dezvoltare.

Securitatea conductelor

Securitatea conductei CI/CD aderă la directive stricte de securitate pentru a atenua amenințările în evoluție. Sursa amenințărilor ar putea fi elemente de infrastructură învechite (cum ar fi sistemele de operare, instrumentele de analiză etc.), accesele neautorizate datorate controlului slab al privilegiilor și mediile slab izolate. Menținerea infrastructurii CI/CD la zi, verificată temeinic și controlată strict este o piatră de temelie a SDLC-ului nostru securizat. 

La nivel regional, serverele din SUA sunt utilizate pentru toate serviciile centralizate, inclusiv stocarea codului, conducta CI/CD, instrumentele de analiză și testare și semnarea securizată a artefactelor. Configurarea tuturor instrumentelor centralizate se află sub controlul departamentului R&D Operations. 

Aplicăm mecanisme de autentificare puternică (autentificare cu factori multipli - MFA) și controale de autorizare (control al accesului bazat pe roluri - RBAC). Sunt efectuate revizuiri periodice ale accesului și ale privilegiilor minime. 

Conductele noastre încorporează mai multe instrumente de automatizare a analizei și testării, inclusiv testarea statică a securității aplicațiilor (SAST), analiza compoziției Software (SCA), testarea dinamică a securității aplicațiilor (DAST), scanarea secretă și scanarea malware-ului. 

În soluția noastră securizată de semnare a codului, folosim module de securitate Hardware (HSM) pentru a proteja materialul cheie împotriva accesului neautorizat și pentru a genera semnătura. Soluția de semnare face parte din infrastructura CI/CD, dar există o segmentare a rețelei. Numai operațiunile de cercetare și dezvoltare sunt autorizate să acceseze HSM-urile pentru perioade scurte. Fiecare acțiune de semnare este înregistrată și poate fi revizuită în timpul unei piste de audit. 

Setul de instrumente utilizat pentru construirea, compilarea sau testarea software-ului trebuie să conțină informații privind proveniența și să provină dintr-o sursă validată. Numărul instrumentelor utilizate în fluxul CI/CD este limitat; se instalează doar instrumentele necesare. Pentru etapele de compilare și construire din cadrul fluxului este permisă utilizarea exclusivă a software-ului LTS. În cadrul operării serviciilor centralizate, sunt definite perioade regulate de întreținere și de rotație a cheilor. Instrumentele dezvoltate intern se încadrează în Procesul Secure .

Consolidarea mediului pentru toate serviciile centralizate este continuă, iar aceste cerințe de securitate sunt revizuite periodic. Orientările privind consolidarea sunt comunicate echipelor de produse pentru a se asigura că acestea sunt pregătite și își pot adapta procesele de dezvoltare în consecință. În cazul unui incident de securitate, se efectuează un RCA pentru a lua măsuri preventive și a actualiza aceste cerințe.

Protecția codului

Protecția codului sursă este o parte esențială a dezvoltării de software pentru a garanta confidențialitatea și integritatea codului sursă în cadrul companiei. 

Codul sursă este stocat în conformitate cu principiul privilegiului minim, permițând accesul numai personalului și instrumentelor autorizate. Codul sursă se află sub controlul versiunilor. Sistemul de gestionare a controlului versiunii garantează trasabilitatea și responsabilitatea modificărilor codului. Stocarea codului sursă este criptată cu criptografie conformă cu standardul FIPS 140-3 și protejată cu o lungime de cheie corespunzătoare.

Evaluarea furnizorului

Ca parte a procesului nostru de integrare a furnizorilor, furnizorii sunt supuși unei verificări a sancțiunilor. Ca parte a contractelor noastre cu vânzătorii și furnizorii, aceștia sunt, de asemenea, obligați să mențină conformitatea cu reglementările pe întreaga durată a contractului, inclusiv să mențină licențe de export adecvate în temeiul EAR (Export Administration Regulations), dacă este cazul. Procesul de evaluare a furnizorilor poate include liste de verificare, analize privind securitatea și confidențialitatea și o analiză a auditurilor și certificărilor terților. Furnizorii critici sunt revizuiți și evaluați cel puțin o dată pe an. Orice neconformitate cu așteptările noastre este monitorizată și se efectuează o evaluare a riscurilor în astfel de cazuri.

12. Închidere

Aplicarea internă a ciclului de viață al dezvoltării software-ului Secure )

Respectarea acestei politici este obligatorie pentru toate echipele interne. Acest document este subordonat politicilor companiei, ceea ce înseamnă că, în caz de contradicții, politicile companiei au prioritate și trebuie respectate. 

Procesul de escaladare a încălcărilor Secure : Orice încălcare a acestei politici este gestionată la nivel intern, începând cu departamentul de operațiuni de cercetare și dezvoltare și fiind escaladată până la directorul de produs (CPO), dacă este necesar.

Cerințe Secure pentru furnizori

Furnizorii care oferă componente sau servicii pentru produsele care intră sub incidența standardelor ISO 27001, SOC2 și NIST SSDF trebuie să respecte cerințele prezentate mai jos, prevăzute în Cadrul Secure . Conformitatea este supusă unor audituri periodice de securitate, evaluărilor efectuate de terți și obligațiilor fiecărei părți prevăzute în contractele încheiate. 

Toți furnizorii trebuie să furnizeze informații privind proveniența și integritatea, împreună cu documente justificative, astfel cum sunt definite în secțiunea Integritatea versiunii. 

Furnizorii de componente de produs și biblioteci trebuie să creeze medii de dezvoltare conforme cu practicile noastre, așa cum sunt descrise în secțiunea „Mediul Secure ”. Aceștia trebuie să efectueze teste de securitate asupra componentelor și bibliotecilor lor, conform descrierii din secțiunea „Testarea și verificarea securității aplicațiilor”. 

Furnizorii de componente pentru conducte trebuie, de asemenea, să creeze medii de dezvoltare conforme cu practicile noastre, așa cum sunt descrise în secțiunea „Mediul Secure ”. În plus, procesele lor de dezvoltare trebuie să fie conforme cu procesul Secure OPSWAT. 

Se așteaptă ca furnizorii de servicii să utilizeze medii situate în SUA, care să ofere un nivel de securitate comparabil cu OPSWATserviciilor OPSWAT. Secure lor Secure trebuie să includă atât un program Secure , cât și un proces Secure care să reflecte așteptările OPSWAT.

Avantajele unui ciclu de viață al dezvoltării software-ului ( Secure pentru clienți

Cadrul Secure OPSWATrespectă pe deplin cerințele normative și cele mai bune practici din industrie, asigurând un proces de dezvoltare sigur, fiabil și transparent. 

În calitate de lider în domeniul protecției infrastructurilor critice, OPSWAT angajează să atingă cel mai înalt nivel de maturitate în ceea ce privește Secure și securitatea aplicațiilor, pentru a oferi clienților noștri următoarele avantaje:

  • Produse software mai sigure, care vor minimiza exploatarea și vulnerabilitățile   
  • Reducerea riscului asociat cu breșele de securitate și pierderea reputației  
  • Ajutați la asigurarea conformității cu politicile de securitate corporative ale clienților

Informații de contact

Pentru mai multe informații despre cadrul Secure OPSWAT, contactați-ne.

Rămâneți la curent cu OPSWAT!

Înscrieți-vă astăzi pentru a primi cele mai recente actualizări ale companiei, povești, informații despre evenimente și multe altele.