软件开发外包:软件开发外包首要考虑安全问题

 admin   2018-03-22 20:15   1494 人阅读  0 条评论

坦率地说,CIO和他们的员工对网络安全的持续警惕令人筋疲力尽。我们管理的系统的完整性威胁不再局限于“网络攻击”或“网络盗窃”。现在,即使小企业主也成为“网络恐怖主义”的目标:有组织的团体组织攻击,甚至在外国政府内正式组织团队!


然而,尽管直接来自黑暗网络中暗影人物的攻击事件令人望而生畏,但行业专家仍然指出,大多数安全漏洞都是由于内部人员(员工,供应商合作伙伴)的无意疏忽造成的。事实上,一些最臭名昭着的网络事件已被追查到雇员错误和/或供应商错误的根本问题。


外包是一个有用的选择,对于许多IT主管来说,这是一个有效运作的核心策略。对时间机器进行回击以及将所有内容“全部内容化”是不必要的,而不是对网络安全威胁的实际反应。


策略第一:如何做移动开发权

15种用于快速构建移动应用程序的低代码工具

Shake Shack为获得移动应用程序的秘密

因此,请采取深思熟虑的步骤来保护您的信息资产,并保护您通过外包实现的生产力收益。


评估你的风险

您应该已经对您当前的系统组合进行了风险评估:了解您的公司在系统出现故障或损坏时可能面临的风险。如果不是的话,那就从你的下一个外包开发项目开始,并聘请一家有经验的公司来进行风险评估。


盘点外包合作伙伴开发或将要开发哪些应用程序。

定义每个应用程序构成的潜在风险(运输中断,订单影响等)

一定要量化商业和美元的影响。

此外,还要评估软件开发流程的安全性和基础设施环境:从设计到生产部署。特别是在敏捷开发等高度协作的情况下,您希望全面了解您与供应商合作伙伴之间的数字接触点。


使用最佳做法

根据当前的最佳实践和安全标准,将帮助您浏览无意中设计到系统中的典型安全缺陷。例如,我们看看由开放Web应用程序安全项目(OWASP)建立的准则。(OWASP Top 10是一个非常有用的参考。)


[ 在这个全面的12部分课程中学习从初级概念到高级设计模式的Java!]

不要害怕推迟外包开发团队对低级(管理权限)系统证书的请求。任何参与过IT General Controls审计的人都知道,管理权限过于宽泛或分布过于广泛是一大危险。如果您限制外包合作伙伴的系统证书,贵公司的软件工程师或管理员可能需要监督从开发到生产的代码安装或软件升级,但是系统的完整性值得额外付出。


进行渗透(笔)测试

软件测试无疑是软件开发项目的标准部分。但是,通常缺乏对软件网络安全要素的适当测试。我们发现我们的客户往往最小化对稳健渗透测试的需求。无论您是否在内部外包或开发软件,您都必须执行有效的渗透测试。


你可能会问,“什么样的笔测试:白盒,黑盒,灰盒?”我们的回答是“是 - 所有上述”。


笔测试图

行业标准为您的渗透测试计划提供有用的指导。我们特别关注由以下方面提供的测试指南:


国家标准与技术研究院(NIST)

开放Web应用程序安全项目(OWASP)

开源安全测试方法手册(OSSTMM)

这些标准和指导方针需要消化很多。它需要专门的知识和专业知识才能进行钢笔测试,这是您的软件开发团队最可能缺乏的。考虑将笔测试外包给与您用于外包软件开发的公司不同的公司。


了解你的软件外包合作伙伴

深入了解您的软件外包合作伙伴。从物理和网络安全角度熟悉他们的招聘实践,培训/认证计划,甚至是他们的工作场所的属性。


确认技术团队持有哪些与安全有关的认证 - 并永久维护。

询问安全策略是否到位 - 以及如何执行。

他们的工作环境中有什么保护措施:物理办公室安全,软件防病毒和恶意软件防护,防火墙等?

公司是否符合ISO 27001等标准?

关于安全认证 - 以下是可能与外包技术环境中的外包DevOps专业人员相关的一些认证(以及内部认证):


ECSP:EC委员会认证的安全编程器

CSSLP:经认证的安全软件生命周期专业人员

GSSP-JAVA:GIAC安全软件程序员-Java

GWEB:GIAC认证的Web应用程序防护程序

GSSP-.NET:GIAC安全软件程序员 - .NET

CEH:认证的道德黑客

CES:认证加密专家

软件外包可以是安全的

大多数IT部门都意识到存在一个新的,更高级的网络安全标准 - 并且需要内部的安全意识文化。仅仅因为您使用外包作为交付软件的方式,并不意味着您可以放弃标准或降低标准,因为第三方在混合。外包可以成功完成 - 其中包括由编程团队安全设计和交付的软件,该团队坚持内部员工遵守的高度安全意识。


本文地址:https://ruanzu.com/post/46.html
版权声明:本文为原创文章,版权归 admin 所有,欢迎分享本文,转载请保留出处!

 发表评论


表情

还没有留言,还不快点抢沙发?