Anwendungssicherheit
Anwendungssicherheit (Application Security, AppSec) beschreibt den gesamten Prozess des Entwurfs, der Erstellung und Tests der Sicherheitseigenschaften von Workloads, die Sie entwickeln. Sie sollten die Personen in Ihrer Organisation entsprechend geschult haben und die Sicherheitseigenschaften Ihrer Entwicklung und der Infrastruktur Ihrer Softwareveröffentlichung verstehen. Sie sollten auch Automatisierung zum Identifizieren von Sicherheitsproblemen einsetzen.
Das Einführen von Anwendungssicherheitstests als Teil Ihres Softwareentwicklungs-Lebenszyklus (SDLC) sowie des Prozesses nach der Veröffentlichung hilft Ihnen dabei, sicherzustellen, dass Sie über einen strukturierten Mechanismus zum Identifizieren, Lösen und Verhindern von Anwendungssicherheitsproblemen verfügen, die sich in Ihre Produktionsumgebung einschleichen könnten.
Ihre Methodologie zur Anwendungsentwicklung sollte Sicherheitskontrollen enthalten, während Sie Ihre Workloads entwerfen, entwickeln, bereitstellen und ausführen. Während Sie das machen, passen Sie den Prozess für kontinuierliche Fehlerverringerung und Minimierung von technischen Schulden an. Das Verwenden von Bedrohungsmodellierung in der Designphase hilft Ihnen beispielsweise dabei, Designfehler früh aufzudecken, wodurch sie einfacher und günstiger behoben werden können – im Gegensatz dazu, wenn Sie warten und die Fehler später beseitigen.
Je früher Fehler im Softwareentwicklungs-Lebenszyklus behoben werden, desto geringer sind die Kosten und die Komplexität. Die einfachste Weise, Probleme zu lösen, ist keine zu haben. Daher hilft Ihnen ein Bedrohungsmodell, sich bereits in der Designphase auf die richtigen Ergebnisse zu konzentrieren. Während Ihr AppSec-Programm reift, können Sie mithilfe von Automatisierung die Anzahl an durchgeführten Tests erhöhen, die Genauigkeit des Feedbacks für Entwickler verbessern und die für Sicherheitsüberprüfungen aufgewendete Zeit verringern. All diese Aktionen erhöhen die Qualität der Software, die Sie entwickeln, und beschleunigen das Ausliefern von Funktionen in die Produktion.
Bei diesen Implementierungsrichtlinien gibt es vier Schwerpunktbereiche: Organisation und Kultur, Sicherheit der Pipeline, Sicherheit in der Pipeline und Verwaltung von Abhängigkeiten. Jeder Bereich bietet einen Satz an Prinzipien, die Sie implementieren können, und bietet eine umfassende Sicht darauf, wie Sie Ihre Workloads entwerfen, entwickeln, aufbauen, bereitstellen und ausführen.
In AWS gibt es eine Reihe von Ansätzen, die Sie in Zusammenhang mit Ihrem Anwendungssicherheitsprogramm verwenden können. Einige dieser Ansätze basieren auf Technologie, während sich andere auf die menschlichen und betrieblichen Aspekte Ihres Anwendungssicherheitsprogramms konzentrieren.
Bewährte Methoden
- SEC11-BP01 Für Anwendungssicherheit schulen
- SEC11-BP02 Automatisieren des Testens während des Entwicklungs- und Veröffentlichungslebenszyklus
- SEC11-BP03 Regelmäßig Penetrationstests durchführen
- SEC11-BP04 Durchführen von Codeüberprüfungen
- SEC11-BP05 Services für Pakete und Abhängigkeiten zentralisieren
- SEC11-BP06 Software programmgesteuert bereitstellen
- SEC11-BP07 Die Sicherheitseigenschaften der Pipelines regelmäßig bewerten
- SEC11-BP08 Ein Programm entwickeln, das den Workload-Teams die Verantwortung für die Sicherheit überträgt
