BT

Appliquer la sécurité by design à l'aide de CMMI pour le développement

par Ben Linders , traduit par Chris Woodrow le 17 janv. 2014 |

Pour permettre le développement de produits sécurisés, les processus dédiés aux développements de l'application doivent inclure des tâches liées à la sécurité. "La sécurité doit être prévue depuis le début et les produits doivent être sécurisés by design" expliquent Winfried Russwurm de chez Siemens et Peter Panhoizer de chez Limes Security. Ils ont animé un workshop lors de la conférence SEPG Europe 2013 durant lequel ils ont passé en revue les tâches liées à la sécurité et ont présenté le Guide d'Application pour Améliorer les Processus de Sécurisation des Produits.

Winfried et Peter ont demandé aux participants du workshop de venir avec des activités de développement dédiées qui devaient être effectuées pour améliorer la sécurité et pour créer un produit plus sécurisé. Ils ont catégorisé les idées proposées par les participants :

Organisation :

  • S'organiser en fonction des experts de sécurité
  • Améliorer les connaissances de chacun sur la sécurité et développer une culture de la sécurité
  • Proposer des formations sur la sécurité
  • Développer et mettre en oeuvre des politiques de sécurité

Conditions :

  • Prévoir l'intervention de hackers
  • Effectuer une analyse de risques de sécurité
  • Définir les exigences en matière de sécurité, e.g. à l'aide de user stories et de scénarios de sécurité

Architecture :

  • Centrer la conception des interfaces sur les risques de sécurité
  • Appliquer des règles d'architecture et des recommandations pour la sécurité
  • Identifier et appliquer des architectures éprouvées pour la sécurité

Implémentation :

  • Appliquer les standards de sécurisation des applications
  • Utiliser des outils pour valider la sécurité du code

Tests :

  • Planifier et effectuer les tests de sécurité
  • Utiliser des outils pour automatiser les tests de sécurité

Cycle de vie entier :

  • Effectuer des revues de sécurité et des vérifications
  • Identifier les sources de risque et les catégories permettant de faire des estimations des risques
  • Appliquer les leçons apprises par d'autres entreprises et d'autres communautés
  • Etablir des politiques autour des médias sociaux pour faire face aux problèmes de sécurité

Courant année 2013, le CMMI Istitute a publié le Guide d'Application pour Améliorer les Processus de Sécurisation des Produits. Ce guide d'application contient de nouveaux ensembles de processus dédiés aux aspects de la sécurité autour de l'ingénierie, la gestion de la sécurité dans les projets, et l'organisation des problématiques liées à la sécurité. Ce guide peut être utilisé avec Capability Maturity Model Integration for Development (CMMI-DEV) afin d'améliorer les processus pour que les organisations qui les utilisent puissent offrir des garanties de sécurité à leurs clients.

Le CMMI Institute et les auteurs du guide souhaiteraient avoir des retours de la part d'organisations qui ont utilisé ce guide. Toutes les remarques sont les bienvenues.

Bonjour étranger!

Vous devez créer un compte InfoQ ou cliquez sur pour déposer des commentaires. Mais il y a bien d'autres avantages à s'enregistrer.

Tirez le meilleur d'InfoQ

Donnez-nous votre avis

Html autorisé: a,b,br,blockquote,i,li,pre,u,ul,p

M'envoyer un email pour toute réponse à l'un de mes messages dans ce sujet
Commentaires de la Communauté

Html autorisé: a,b,br,blockquote,i,li,pre,u,ul,p

M'envoyer un email pour toute réponse à l'un de mes messages dans ce sujet

Html autorisé: a,b,br,blockquote,i,li,pre,u,ul,p

M'envoyer un email pour toute réponse à l'un de mes messages dans ce sujet

Discuter

Contenu Éducatif

Rien ne serait possible sans le soutien et la confiance de nos Sponsors Fondateurs:

AppDynamics   CloudBees   Microsoft   Zenika
Feedback Général
Bugs
Publicité
Éditorial
InfoQ.com et tous les contenus sont copyright © 2006-2013 C4Media Inc. InfoQ.com est hébergé chez Contegix, le meilleur ISP avec lequel nous ayons travaillé.
Politique de confidentialité
BT