Keamanan Perangkat Lunak Aplikasi

Tetapkan dan pelihara proses pengembangan aplikasi yang aman. Dalam proses tersebut, tangani hal-hal seperti: standar desain aman, praktik pengkodean aman, standarisasi pelatihan pengembang, manajemen kerentanan, keamanan pustaka pihak ketiga, dan prosedur pengujian keamanan aplikasi. Tinjau dan perbarui dokumentasi setiap tahun, atau ketika terjadi perubahan signifikan pada perusahaan yang dapat memengaruhi Pengamanan ini.

Tetapkan dan pelihara proses untuk menerima dan menangani laporan kerentanan perangkat lunak dari pihak internal atau eksternal. Proses tersebut meliputi: dokumentasi pencarian keamanan, pembuatan jadwal komunikasi, dan proses eksekusi remediasi.

Lakukan analisis akar masalah pada kerentanan keamanan. Saat meninjau kerentanan, analisis akar masalah dimaksudkan untuk melebihi perbaikan langsung yang dilakukan dan mengidentifikasi kerentanan yang mendasarinya, termasuk kerentanan dalam pengkodean, desain, dan pengembangan.

Tetapkan dan kelola inventaris terkini dari komponen perangkat lunak pihak ketiga yang digunakan dalam pengembangan, sering disebut sebagai "Bill of Materials", serta komponen yang dijadwalkan untuk penggunaan di masa depan. Proses ini harus disertakan dalam proses pengembangan aplikasi yang aman.

Gunakan komponen perangkat lunak pihak ketiga yang terkini dan tepercaya. Jika memungkinkan, pilih perpustakaan dan kerangka kerja yang telah mapan dan terbukti yang menyediakan keamanan yang memadai. Beli perangkat lunak komersial yang dikelola dan didukung secara baik oleh vendor.

Tetapkan dan pelihara sistem peringkat tingkat keparahan dan proses untuk kelemahan aplikasi yang memfasilitasi prioritas urutan perbaikan.

Gunakan template konfigurasi pengerasan standar untuk infrastruktur aplikasi. Contoh implementasi termasuk server yang mendasarinya, basis data, dan kontainer, serta template konfigurasi pengerasan standar. Evaluasi ulang setiap tahun, atau ketika terjadi perubahan signifikan pada perusahaan yang dapat memengaruhi Pengamanan ini.

Pelihara lingkungan terpisah untuk sistem produksi dan non-produksi.

Pastikan semua personel pengembangan perangkat lunak menerima pelatihan dalam menulis kode yang aman untuk lingkungan dan tanggung jawab khusus mereka. Pelatihan dapat mencakup prinsip keamanan umum dan praktik keamanan aplikasi standar. Lakukan pelatihan setidaknya setiap tahun dan desain sedemikian rupa sehingga mendorong keamanan dalam proses pengembangan.

Terapkan pemeriksaan keamanan otomatis kode untuk basis kode. Contoh implementasi termasuk analisis kode statis dan pengujian keamanan aplikasi dinamis (DAST).

Gunakan modul atau layanan keamanan terverifikasi. Contoh implementasi termasuk menggunakan modul enkripsi terverifikasi yang lebih besar daripada membangun algoritma kriptografi khusus.

Terapkan pemeriksaan integritas tingkat kode untuk memvalidasi tingkat integritas sebelum penerapan. Contoh pemeriksaan integritas termasuk hash dan penandatanganan kode.

Lakukan pengujian penetrasi aplikasi. Untuk aplikasi kritis, pengujian penetrasi terotentikasi lebih baik daripada pemindaian yang tidak terotentikasi. Pengujian penetrasi memerlukan keterampilan dan pengalaman khusus dan harus dilakukan melalui pihak yang memenuhi syarat. Pihak yang melakukan pengujian dapat dikelola secara internal oleh perusahaan atau merupakan pihak ketiga eksternal.

Lakukan pemodelan ancaman. Pemodelan ancaman adalah proses mengidentifikasi dan menangani kelemahan desain keamanan aplikasi dalam desain, sebelum kode dibuat.