IG3

Terapkan Pemeriksaan Integritas Tingkat Kode

Kelompok Kontrol: 16. Keamanan Perangkat Lunak Aplikasi

Jenis Aset: Aplikasi

Fungsi Keamanan: Lindungi

Deskripsi

Terapkan pemeriksaan integritas tingkat kode untuk memvalidasi tingkat integritas sebelum penerapan. Contoh pemeriksaan integritas termasuk hash dan penandatanganan kode.

Daftar Periksa Implementasi

1

Tinjau persyaratan pengamanan terhadap kondisi saat ini

2

Kembangkan rencana implementasi dengan jadwal dan tonggak pencapaian

3

Implementasikan kontrol dan prosedur yang diperlukan

4

Verifikasi implementasi melalui pengujian dan audit

5

Dokumentasikan implementasi dan perbarui prosedur operasional

Rekomendasi Alat

Veracode Gartner MQ Leader, Application Security Testing 2024

Platform keamanan aplikasi dengan SAST, DAST, SCA, dan pelatihan pengembang untuk pengembangan perangkat lunak yang aman

Veracode · Langganan per aplikasi

Checkmarx One Gartner MQ Leader, Application Security Testing 2024

Platform keamanan aplikasi cloud-native dengan SAST, SCA, DAST, keamanan API, dan pengujian keamanan rantai pasokan

Checkmarx · Langganan per pengembang

Synopsys Software Integrity Gartner MQ Leader, Application Security Testing 2024

Rangkaian pengujian keamanan aplikasi dengan SAST (Coverity), SCA (Black Duck), dan DAST untuk AppSec yang komprehensif

Synopsys · Langganan per pengembang

Snyk Gartner MQ Visionary, Application Security Testing 2024; Forrester Wave Leader, SCA 2023

Keamanan aplikasi yang mengutamakan pengembang dengan SCA, pemindaian kontainer, keamanan IaC, dan SAST terintegrasi ke dalam CI/CD

Snyk · Langganan per pengembang

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Kerentanan Di-deploy ke Produksi Tanpa Terdeteksi

Integrity

Kerentanan cross-site scripting diperkenalkan dalam perubahan kode dan di-deploy ke produksi karena tidak ada alat analisis statis atau dinamis yang terintegrasi dalam pipeline CI/CD untuk menangkapnya sebelum rilis.

Rahasia yang Di-hardcode Dicommit ke Repositori Kode Sumber

Confidentiality

Developer mengcommit kunci API dan kredensial basis data langsung ke kode sumber, dan mereka dipush ke repositori bersama tanpa deteksi karena tidak ada analisis statis yang memindai rahasia tertanam.

Kelemahan Logika Bisnis Terlewat Tanpa Pengujian Dinamis

Confidentiality

Kerentanan bypass otorisasi kompleks ada dalam aplikasi yang berjalan tetapi tidak terdeteksi melalui tinjauan kode saja, dan tidak ada alat analisis dinamis yang menguji aplikasi yang berjalan untuk menemukannya.

Kerentanan (Saat Pengamanan Tidak Ada)

Tidak Ada Analisis Keamanan Otomatis dalam Pipeline Pengembangan

Tanpa alat SAST dan DAST yang terintegrasi dalam siklus hidup aplikasi, kerentanan keamanan dalam kode dan aplikasi yang berjalan tidak secara sistematis terdeteksi sebelum deployment ke produksi.

Tinjauan Kode Hanya Manual untuk Keamanan

Mengandalkan tinjauan kode manual saja tanpa alat analisis statis dan dinamis otomatis berarti cakupan tidak konsisten dan pola kerentanan umum sering terlewat.