Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Anwendungssicherheit
Anwendungssicherheit (AppSec) beschreibt den Gesamtprozess, bei dem Sie die Sicherheitseigenschaften der von Ihnen entwickelten Workloads entwerfen, erstellen und testen. Sie sollten die Personen in Ihrer Organisation entsprechend geschult haben und die Sicherheitseigenschaften Ihrer Entwicklung und der Infrastruktur Ihrer Softwareveröffentlichung verstehen. Sie sollten auch Automatisierung zum Identifizieren von Sicherheitsproblemen einsetzen.
Durch die Einführung von Anwendungssicherheitstests als regelmäßigen Bestandteil Ihres Softwareentwicklungszyklus (SDLC) und der Prozesse nach der Veröffentlichung können Sie sicherstellen, dass Sie über einen strukturierten Mechanismus verfügen, mit dem Sie Sicherheitsprobleme von Anwendungen identifizieren, beheben und verhindern können, dass sie in Ihre Produktionsumgebung gelangen.
Ihre Methodologie zur Anwendungsentwicklung sollte Sicherheitskontrollen enthalten, während Sie Ihre Workloads entwerfen, entwickeln, bereitstellen und ausführen. Während Sie das machen, passen Sie den Prozess für kontinuierliche Fehlerverringerung und Minimierung von technischen Schulden an. Das Verwenden von Bedrohungsmodellierung in der Designphase hilft Ihnen beispielsweise dabei, Designfehler früh aufzudecken, wodurch sie einfacher und günstiger behoben werden können – im Gegensatz dazu, wenn Sie warten und die Fehler später beseitigen.
Die Kosten und der Aufwand für die Behebung von Fehlern sind in der Regel geringer, je früher Sie in der SDLC Die einfachste Weise, Probleme zu lösen, ist keine zu haben. Daher hilft Ihnen ein Bedrohungsmodell, sich bereits in der Designphase auf die richtigen Ergebnisse zu konzentrieren. Mit zunehmender AppSec Reife Ihres Programms können Sie die Anzahl der Tests erhöhen, die mithilfe von Automatisierung durchgeführt werden, die Genauigkeit des Feedbacks an die Entwickler verbessern und den Zeitaufwand für Sicherheitsüberprüfungen reduzieren. All diese Aktionen erhöhen die Qualität der Software, die Sie entwickeln, und beschleunigen das Ausliefern von Funktionen in die Produktion.
Bei diesen Implementierungsrichtlinien gibt es vier Schwerpunktbereiche: Organisation und Kultur, Sicherheit der Pipeline, Sicherheit in der Pipeline und Verwaltung von Abhängigkeiten. Jeder Bereich bietet eine Reihe von Prinzipien, die Sie implementieren können, und bietet einen end-to-end Überblick darüber, wie Sie Workloads entwerfen, entwickeln, erstellen, bereitstellen und betreiben.
In gibt AWS es eine Reihe von Ansätzen, die Sie für Ihr Anwendungssicherheitsprogramm verwenden können. Einige dieser Ansätze basieren auf Technologie, während sich andere auf die menschlichen und betrieblichen Aspekte Ihres Anwendungssicherheitsprogramms konzentrieren.
Bewährte Methoden
- SEC11-BP01 Train für Anwendungssicherheit
- SEC11-BP02 Automatisieren Sie Tests während des gesamten Entwicklungs- und Release-Lebenszyklus
- SEC11-BP03 Führen Sie regelmäßige Penetrationstests durch
- SEC11-BP04 Manuelle Codeüberprüfungen
- SEC11-BP05 Zentralisieren Sie Dienste für Pakete und Abhängigkeiten
- SEC11-BP06 Software programmgesteuert bereitstellen
- SEC11-BP07 bewertet regelmäßig die Sicherheitseigenschaften der Pipelines
- SEC11-BP08 Erstellen Sie ein Programm, das Workload-Teams die Verantwortung für Sicherheitsfragen einräumt
