Android

Nytt nettsted definerer beste praksis for programvaresikkerhet

Dear Tesla Killers...

Dear Tesla Killers...
Anonim

Hvor mange sikkerheter offiserer bør det være for hver programvareutvikler? Det viser seg at svaret er en for hver 100. Denne og andre beste programvaresikkerhetens beste praksis er nå en del av et felles prosjekt mellom sikkerhetsleverandøren Fortify og sikkerhetskonsulentfirmaet Cigital.

Rettighetsbyggende sikkerhet i modenhet (BSIMM), den Prosjektet er ikke ment å være en "hvordan", og heller ikke en størrelse passer til alle løsninger for å skrive sikker kode, ifølge Fortify. I stedet er BSIMM resultatet av samtaler rundt programvare sikkerhetspraksis som Fortify og Cigital hadde med selskaper som Adobe, EMC, Google, Microsoft, QUALCOMM, Wells Fargo, og Depository Trust & Clearing Corporation (DTCC).

I mange tilfeller Selskapene gjorde i hovedsak noen av de samme tingene. For eksempel har alle organisasjonene intervjuet en institusjonalisert sikkerhetsopplæringsplan for programmerere, QA-ingeniører og prosjektledere. Hver av de ni bedriftene har en utpekt gruppe av programvare sikkerhetspersonell-en per hver hundre programvareutviklere. Og alle bedrifter som er intervjuet, legger vekt på sikkerhetsopplæring, tekniske ressurser og veiledning fremfor politi for sikkerhetsfeil og utdeling av straff.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Resultatet er sjelden innsikt i hva vellykkede organisasjoner gjør faktisk å bygge sikkerhet i deres programvare, og verktøyene på nettstedet kan lastes ned gratis av organisasjoner som søker å redusere forretningsrisikoen forbundet med usikre applikasjoner. For eksempel er Software Security Framework (SSF), inkludert i BSIMM, en tilpasningsdyktig sikkerhetsmodell som gjør det mulig for enhver organisasjon å vurdere sin nåværende tilstand av programvareutvikling, prioritere endringer og å kartlegge fremgang.

Modellen bruker en dusin kategorier for å illustrere alle trinnene mellom trening til testing programvare etter at den er skrevet. Det er en liste over aktiviteter innen hver kategori som er utformet for å gjøre et selskaps programvare sikrere. Aktivitetene ber selskapet å gi eksempler fra sin egen historie for å tilpasse punktene.

Hvis dette høres kjent, er det. I fjor annonserte Mozilla et lignende prosjekt initiert av Window Snyder før hun forlot selskapet. Der også, den beste sikkerhetspraksis som ble brukt på Mozilla, skulle modelleres og undervises til andre selskaper. Mozilla Metrics-prosjektet drives for tiden av Rich Mogull.