16.5
IG2 IG3

Gunakan Komponen Perangkat Lunak Pihak Ketiga yang Terkini dan Tepercaya

Kelompok Kontrol: 16. Keamanan Perangkat Lunak Aplikasi
Jenis Aset: Aplikasi
Fungsi Keamanan: Lindungi

Deskripsi

Gunakan komponen perangkat lunak pihak ketiga yang terkini dan tepercaya. Jika memungkinkan, pilih perpustakaan dan kerangka kerja yang telah mapan dan terbukti yang menyediakan keamanan yang memadai. Beli perangkat lunak komersial yang dikelola dan didukung secara baik oleh vendor.

Daftar Periksa Implementasi

1
Inventarisasi semua penyedia layanan pihak ketiga
2
Klasifikasikan pihak ketiga berdasarkan tingkat risiko
3
Lakukan penilaian keamanan terhadap vendor kritis
4
Sertakan persyaratan keamanan dalam kontrak

Rekomendasi Alat

Snyk Gartner MQ Visionary, Application Security Testing 2024; Forrester Wave Leader, SCA 2023

Keamanan aplikasi yang mengutamakan pengembang dengan SCA, pemindaian kontainer, keamanan IaC, dan SAST terintegrasi ke dalam CI/CD

Snyk · Langganan per pengembang
Synopsys Software Integrity Gartner MQ Leader, Application Security Testing 2024

Rangkaian pengujian keamanan aplikasi dengan SAST (Coverity), SCA (Black Duck), dan DAST untuk AppSec yang komprehensif

Synopsys · Langganan per pengembang
Checkmarx One Gartner MQ Leader, Application Security Testing 2024

Platform keamanan aplikasi cloud-native dengan SAST, SCA, DAST, keamanan API, dan pengujian keamanan rantai pasokan

Checkmarx · Langganan per pengembang

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Eksploitasi Kerentanan yang Diketahui dalam Library yang Usang

Integrity

Penyerang mengeksploitasi kerentanan yang terdokumentasi dengan baik dalam library pihak ketiga yang usang yang tidak pernah diperbarui tim pengembangan karena tidak ada proses yang mewajibkan menjaga komponen tetap terkini.

Serangan Substitusi Paket Berbahaya

Integrity

Developer mengunduh komponen pihak ketiga dari sumber tidak tepercaya yang mengandung malware tertanam, karena tidak ada kebijakan yang mewajibkan memperoleh komponen dari repositori tepercaya.

Serangan Typosquatting pada Repositori Paket

Confidentiality

Developer menginstal paket berbahaya dengan nama mirip library yang sah dari repositori publik karena tidak ada proses vetting yang memvalidasi komponen sebelum dimasukkan ke dalam codebase.

Kerentanan (Saat Pengamanan Tidak Ada)

Komponen Pihak Ketiga yang Usang di Produksi

Tanpa persyaratan untuk menjaga komponen pihak ketiga tetap terkini, aplikasi berjalan dengan versi usang yang mengandung kerentanan yang diketahui yang dapat dengan mudah dieksploitasi penyerang menggunakan alat yang tersedia secara publik.

Tidak Ada Validasi Sumber Komponen Pihak Ketiga

Ketiadaan persyaratan sumber tepercaya berarti developer mungkin memperoleh komponen dari repositori yang tidak terverifikasi, meningkatkan risiko memasukkan kode yang dikompromikan atau berbahaya.

Persyaratan Bukti

Jenis Item Bukti Frekuensi Pengumpulan
Dokumen Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) Ditinjau setiap tahun

Templat Kebijakan Terkait

Kebijakan Siklus Hidup Pengembangan Perangkat Lunak yang Aman
Control 16
Kebijakan Keamanan Aplikasi
Control 16

Pengamanan Terkait di Kontrol 16

16.1 Tetapkan dan Pelihara Proses Pengembangan Aplikasi yang Aman
16.2 Tetapkan dan Pelihara Proses untuk Menerima dan Menangani Laporan Kerentanan Perangkat Lunak
16.3 Lakukan Analisis Akar Masalah pada Kerentanan Keamanan
16.4 Tetapkan dan Kelola Inventaris Komponen Perangkat Lunak Pihak Ketiga
16.6 Tetapkan dan Pelihara Sistem Peringkat Tingkat Keparahan dan Proses untuk Kelemahan Aplikasi
16.7 Gunakan Template Konfigurasi Pengerasan Standar untuk Infrastruktur Aplikasi
16.8 Pisahkan Sistem Produksi dan Non-Produksi
16.9 Latih Pengembang dalam Konsep Keamanan Aplikasi dan Pengkodean Aman
16.10 Terapkan Pemeriksaan Keamanan Otomatis Kode
16.11 Gunakan Modul atau Layanan Keamanan Terverifikasi
16.12 Terapkan Pemeriksaan Integritas Tingkat Kode
16.13 Lakukan Pengujian Penetrasi Aplikasi
16.14 Lakukan Pemodelan Ancaman
16.4 16.6