Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Anwendungssicherheit
Anwendungssicherheit (AppSec) beschreibt den Gesamtprozess, bei dem Sie die Sicherheitseigenschaften der von Ihnen entwickelten Workloads entwerfen, erstellen und testen. Sie sollten die Personen in Ihrer Organisation entsprechend geschult haben und die Sicherheitseigenschaften Ihrer Entwicklung und der Infrastruktur Ihrer Softwareveröffentlichung verstehen. Sie sollten auch Automatisierung zum Identifizieren von Sicherheitsproblemen einsetzen.
Wenn Sie Anwendungssicherheitstests als regelmäßigen Bestandteil Ihres Softwareentwicklungszyklus (SDLC) und der Prozesse nach der Veröffentlichung einführen, können Sie überprüfen, ob Sie über einen strukturierten Mechanismus verfügen, mit dem Sie Sicherheitsprobleme von Anwendungen erkennen, beheben und verhindern können, dass sie in Ihre Produktionsumgebung gelangen.
Ihre Methodologie zur Anwendungsentwicklung sollte Sicherheitskontrollen enthalten, während Sie Ihre Workloads entwerfen, entwickeln, bereitstellen und ausführen. Während Sie das machen, passen Sie den Prozess für kontinuierliche Fehlerverringerung und Minimierung von technischen Schulden an. Das Verwenden von Bedrohungsmodellierung in der Designphase hilft Ihnen beispielsweise dabei, Designfehler früh aufzudecken, wodurch sie einfacher und günstiger behoben werden können – im Gegensatz dazu, wenn Sie warten und die Fehler später beseitigen.
Die Kosten und der Aufwand für die Behebung von Fehlern sind in der Regel geringer, je früher Sie in der SDLC Die einfachste Weise, Probleme zu lösen, ist keine zu haben. Daher hilft Ihnen ein Bedrohungsmodell, sich bereits in der Designphase auf die richtigen Ergebnisse zu konzentrieren. Mit zunehmender AppSec Reife Ihres Programms können Sie die Anzahl der Tests erhöhen, die mithilfe von Automatisierung durchgeführt werden, die Genauigkeit des Feedbacks an die Entwickler verbessern und den Zeitaufwand für Sicherheitsüberprüfungen reduzieren. All diese Aktionen erhöhen die Qualität der Software, die Sie entwickeln, und beschleunigen das Ausliefern von Funktionen in die Produktion.
Bei diesen Implementierungsrichtlinien gibt es vier Schwerpunktbereiche: Organisation und Kultur, Sicherheit der Pipeline, Sicherheit in der Pipeline und Verwaltung von Abhängigkeiten. Jeder Bereich bietet eine Reihe von Prinzipien, die Sie implementieren können, und bietet einen end-to-end Überblick darüber, wie Sie Workloads entwerfen, entwickeln, erstellen, bereitstellen und betreiben.
In gibt es eine Reihe von Ansätzen AWS, die Sie für Ihr Anwendungssicherheitsprogramm verwenden können. Einige dieser Ansätze basieren auf Technologie, während sich andere auf die menschlichen und betrieblichen Aspekte Ihres Anwendungssicherheitsprogramms konzentrieren.
In der folgenden Frage geht es um Überlegungen zur Anwendungssicherheit.
| SEC11: Wie integrieren und validieren Sie die Sicherheitseigenschaften von Anwendungen während des gesamten Entwurfs-, Entwicklungs- und Bereitstellungszyklus? |
|---|
| Das Schulen von Personen, das Testen mithilfe von Automatisierung, ein Verständnis der Abhängigkeiten und die Validierung der Sicherheitseigenschaften von Tools und Anwendungen helfen dabei, die Wahrscheinlichkeit eines Sicherheitsproblems bei Produktions-Workloads zu verringern. |
