Tetapkan dan Pelihara Proses untuk Menerima dan Menangani Laporan Kerentanan Perangkat Lunak
Deskripsi
Tetapkan dan pelihara proses untuk menerima dan menangani laporan kerentanan perangkat lunak dari pihak internal atau eksternal. Proses tersebut meliputi: dokumentasi pencarian keamanan, pembuatan jadwal komunikasi, dan proses eksekusi remediasi.
Daftar Periksa Implementasi
Rekomendasi Alat
Platform keamanan aplikasi dengan SAST, DAST, SCA, dan pelatihan pengembang untuk pengembangan perangkat lunak yang aman
Veracode · Langganan per aplikasi
Platform keamanan aplikasi cloud-native dengan SAST, SCA, DAST, keamanan API, dan pengujian keamanan rantai pasokan
Checkmarx · Langganan per pengembang
Keamanan aplikasi yang mengutamakan pengembang dengan SCA, pemindaian kontainer, keamanan IaC, dan SAST terintegrasi ke dalam CI/CD
Snyk · Langganan per pengembang
Ancaman & Kerentanan (CIS RAM)
Skenario Ancaman
Kerentanan yang Diungkapkan Secara Publik dalam Aplikasi Kustom Tidak Diremediasi
ConfidentialityPeneliti keamanan mengungkapkan secara publik kerentanan dalam aplikasi organisasi setelah upaya pengungkapan bertanggung jawab gagal karena tidak ada proses untuk menerima dan menriase laporan kerentanan.
Eksploit Zero-Day Menargetkan Kelemahan Aplikasi yang Tidak Dilaporkan
IntegrityPenyerang menemukan dan mengeksploitasi kerentanan yang telah dilaporkan oleh pengguna tetapi tidak pernah diproses karena organisasi tidak memiliki mekanisme penerimaan untuk laporan kerentanan.
Kerentanan (Saat Pengamanan Tidak Ada)
Tidak Ada Proses Penerimaan dan Penanganan Kerentanan
Tanpa proses untuk menerima dan menangani laporan kerentanan perangkat lunak, organisasi tidak dapat menerima, menriase, atau meremediasi kelemahan yang dilaporkan, meninggalkan kerentanan yang diketahui tanpa patch.
Tidak Ada Mekanisme Pelaporan Kerentanan Eksternal
Ketiadaan saluran yang menghadap publik bagi peneliti eksternal untuk melaporkan kerentanan berarti organisasi melewatkan peringatan dini tentang kelemahan yang dapat dieksploitasi dalam aplikasinya.
Persyaratan Bukti
| Jenis | Item Bukti | Frekuensi Pengumpulan |
|---|---|---|
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |