IG2 IG3

Latih Pengembang dalam Konsep Keamanan Aplikasi dan Pengkodean Aman

Kelompok Kontrol: 16. Keamanan Perangkat Lunak Aplikasi

Jenis Aset: Aplikasi

Fungsi Keamanan: Lindungi

Deskripsi

Pastikan semua personel pengembangan perangkat lunak menerima pelatihan dalam menulis kode yang aman untuk lingkungan dan tanggung jawab khusus mereka. Pelatihan dapat mencakup prinsip keamanan umum dan praktik keamanan aplikasi standar. Lakukan pelatihan setidaknya setiap tahun dan desain sedemikian rupa sehingga mendorong keamanan dalam proses pengembangan.

Daftar Periksa Implementasi

1

Tinjau persyaratan pengamanan terhadap kondisi saat ini

2

Kembangkan rencana implementasi dengan jadwal dan tonggak pencapaian

3

Implementasikan kontrol dan prosedur yang diperlukan

4

Verifikasi implementasi melalui pengujian dan audit

5

Dokumentasikan implementasi dan perbarui prosedur operasional

Rekomendasi Alat

KnowBe4 Gartner MQ Leader, Security Awareness Training 2024; Forrester Wave Leader 2024

Platform pelatihan kesadaran keamanan dengan simulasi phishing, modul pelatihan interaktif, dan pelaporan kepatuhan

KnowBe4 · Langganan per pengguna

Proofpoint Security Awareness Training Gartner MQ Leader, Security Awareness Training 2024

Platform kesadaran keamanan adaptif dan perubahan perilaku dengan pelatihan tertarget berdasarkan data ancaman nyata

Proofpoint · Langganan per pengguna

Veracode Gartner MQ Leader, Application Security Testing 2024

Platform keamanan aplikasi dengan SAST, DAST, SCA, dan pelatihan pengembang untuk pengembangan perangkat lunak yang aman

Veracode · Langganan per aplikasi

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Developer Memperkenalkan Kerentanan Injection Akibat Kurangnya Pelatihan

Confidentiality

Developer menulis kode yang rentan terhadap SQL injection karena mereka tidak pernah dilatih tentang parameterized query atau validasi input dalam framework pengembangan spesifik mereka.

Kelemahan Deserialisasi Tidak Aman dari Developer yang Tidak Terlatih

Integrity

Developer mengimplementasikan deserialisasi objek dari input tidak tepercaya tanpa sanitasi karena mereka tidak memiliki pelatihan tentang serangan deserialisasi, memungkinkan eksekusi kode jarak jauh.

Kerentanan (Saat Pengamanan Tidak Ada)

Developer Tidak Memiliki Pengetahuan Pengkodean Aman

Tanpa pelatihan keamanan aplikasi, developer tidak menyadari pola kerentanan umum dalam framework dan bahasa spesifik mereka, secara sistematis memperkenalkan kelemahan keamanan yang dapat dicegah.

Tidak Ada Budaya Keamanan dalam Tim Pengembangan

Ketiadaan pelatihan developer yang berfokus keamanan berarti keamanan diperlakukan sebagai renungan daripada bagian integral dari proses pengembangan, menghasilkan kode yang tidak aman secara default.

Persyaratan Bukti

Jenis	Item Bukti	Frekuensi Pengumpulan
Dokumen	Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan)	Ditinjau setiap tahun

Templat Kebijakan Terkait

Kebijakan Siklus Hidup Pengembangan Perangkat Lunak yang Aman

Control 16

Pengamanan Terkait di Kontrol 16

16.1 Tetapkan dan Pelihara Proses Pengembangan Aplikasi yang Aman

16.2 Tetapkan dan Pelihara Proses untuk Menerima dan Menangani Laporan Kerentanan Perangkat Lunak

16.3 Lakukan Analisis Akar Masalah pada Kerentanan Keamanan

16.4 Tetapkan dan Kelola Inventaris Komponen Perangkat Lunak Pihak Ketiga

16.5 Gunakan Komponen Perangkat Lunak Pihak Ketiga yang Terkini dan Tepercaya

16.6 Tetapkan dan Pelihara Sistem Peringkat Tingkat Keparahan dan Proses untuk Kelemahan Aplikasi

16.7 Gunakan Template Konfigurasi Pengerasan Standar untuk Infrastruktur Aplikasi

16.8 Pisahkan Sistem Produksi dan Non-Produksi

16.10 Terapkan Pemeriksaan Keamanan Otomatis Kode

16.11 Gunakan Modul atau Layanan Keamanan Terverifikasi

16.12 Terapkan Pemeriksaan Integritas Tingkat Kode

16.13 Lakukan Pengujian Penetrasi Aplikasi

16.14 Lakukan Pemodelan Ancaman