Securitate în ciclul de dezvoltare

În această etapă, se definesc cerințele de securitate și se efectuează o analiză inițială a riscurilor. Activitățile includ:

• Definirea cerințelor de securitate
• Modelarea amenințărilor
• Stabilirea criteriilor de acceptare a securității
• Analiza riscurilor de securitate

În etapa de design, se creează o arhitectură care implementează controalele de securitate necesare. Activitățile includ:

• Revizuirea arhitecturii de securitate
• Definirea controalelor de securitate
• Crearea modelelor de design securizat
• Revizuirea design-ului de securitate

În etapa de implementare, se scrie cod securizat și se efectuează verificări de securitate pe măsură ce codul este dezvoltat. Activitățile includ:

• Utilizarea practicilor de codare securizată
• Revizuirea codului din perspectiva securității
• Analize statice de cod (SAST)
• Verificarea dependențelor pentru vulnerabilități

În etapa de verificare, se efectuează teste de securitate pentru a identifica vulnerabilitățile. Activitățile includ:

• Teste de securitate dinamice (DAST)
• Teste de penetrare
• Fuzzing și teste de robustețe
• Verificarea implementării controalelor de securitate

În etapa de deployment, se asigură că aplicația este implementată într-un mediu securizat. Activitățile includ:

• Hardening-ul infrastructurii
• Configurarea securizată a aplicației
• Gestionarea secretelor și a credențialelor
• Verificări finale de securitate înainte de lansare

În etapa de operare, se monitorizează și se menține securitatea aplicației în producție. Activitățile includ:

• Monitorizarea de securitate
• Gestionarea incidentelor de securitate
• Aplicarea patch-urilor și actualizărilor de securitate
• Teste periodice de securitate