IG2 IG3

Tetapkan dan Pelihara Proses Pengembangan Aplikasi yang Aman

Kelompok Kontrol: 16. Keamanan Perangkat Lunak Aplikasi

Jenis Aset: Aplikasi

Fungsi Keamanan: Lindungi

Deskripsi

Tetapkan dan pelihara proses pengembangan aplikasi yang aman. Dalam proses tersebut, tangani hal-hal seperti: standar desain aman, praktik pengkodean aman, standarisasi pelatihan pengembang, manajemen kerentanan, keamanan pustaka pihak ketiga, dan prosedur pengujian keamanan aplikasi. Tinjau dan perbarui dokumentasi setiap tahun, atau ketika terjadi perubahan signifikan pada perusahaan yang dapat memengaruhi Pengamanan ini.

Daftar Periksa Implementasi

1

Tinjau persyaratan pengamanan terhadap kondisi saat ini

2

Kembangkan rencana implementasi dengan jadwal dan tonggak pencapaian

3

Implementasikan kontrol dan prosedur yang diperlukan

4

Verifikasi implementasi melalui pengujian dan audit

5

Dokumentasikan implementasi dan perbarui prosedur operasional

Rekomendasi Alat

Veracode Gartner MQ Leader, Application Security Testing 2024

Platform keamanan aplikasi dengan SAST, DAST, SCA, dan pelatihan pengembang untuk pengembangan perangkat lunak yang aman

Veracode · Langganan per aplikasi

Checkmarx One Gartner MQ Leader, Application Security Testing 2024

Platform keamanan aplikasi cloud-native dengan SAST, SCA, DAST, keamanan API, dan pengujian keamanan rantai pasokan

Checkmarx · Langganan per pengembang

Synopsys Software Integrity Gartner MQ Leader, Application Security Testing 2024

Rangkaian pengujian keamanan aplikasi dengan SAST (Coverity), SCA (Black Duck), dan DAST untuk AppSec yang komprehensif

Synopsys · Langganan per pengembang

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Kelemahan Keamanan Sistemis pada Aplikasi yang Dikembangkan Internal

Integrity

Beberapa aplikasi yang dikembangkan internal mengandung kategori kerentanan yang sama seperti kelemahan injection dan autentikasi rusak karena tidak ada proses pengembangan aman yang mendefinisikan standar pengkodean atau persyaratan keamanan.

Kode Pihak Ketiga Rentan Diintegrasikan Tanpa Tinjauan

Integrity

Developer memasukkan library open-source dengan kerentanan kritis yang diketahui ke dalam aplikasi produksi karena proses pengembangan tidak memiliki persyaratan untuk memeriksa keamanan kode pihak ketiga.

Keamanan Dilewati untuk Memenuhi Tenggat Rilis

Confidentiality

Aplikasi dipercepat ke produksi tanpa pengujian keamanan apa pun karena tidak ada proses pengembangan aman formal yang mewajibkan gerbang keamanan dalam pipeline rilis.

Kerentanan (Saat Pengamanan Tidak Ada)

Tidak Ada Secure Software Development Lifecycle (SSDLC)

Tanpa proses pengembangan aman, tidak ada standar yang ditetapkan untuk desain aman, praktik pengkodean, manajemen kerentanan, atau pengujian keamanan, menghasilkan aplikasi dengan kelemahan keamanan sistemis.

Tidak Ada Persyaratan Keamanan dalam Pipeline Pengembangan

Ketiadaan proses yang diformalkan berarti pengujian keamanan, tinjauan kode, dan penilaian kerentanan bukan tahap yang diwajibkan dalam siklus hidup rilis perangkat lunak.