Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Sécurité des applications
La sécurité des applications (AppSec) décrit le processus global de conception, de création et de test des propriétés de sécurité des charges de travail que vous développez. Vous devez disposer de personnes correctement formées dans votre organisation, comprendre les propriétés de sécurité de votre infrastructure de création et de diffusion, et utiliser l’automatisation pour identifier les problèmes de sécurité.
L'adoption de tests de sécurité des applications dans le cadre du cycle de vie de développement de vos logiciels (SDLC) et des processus post-publication permet de garantir que vous disposez d'un mécanisme structuré pour identifier, corriger et empêcher les problèmes de sécurité des applications de pénétrer dans votre environnement de production.
Votre méthodologie de développement d’applications doit inclure des contrôles de sécurité lors de la conception, de l’élaboration, du déploiement et de l’exploitation de vos charges de travail. Ce faisant, alignez le processus afin de limiter les défauts en continu et de minimiser la dette technique. Par exemple, l’utilisation de la modélisation des menaces au cours de la phase de conception permet de découvrir rapidement les défauts de conception, ce qui les rend plus faciles et moins coûteux à corriger que d’attendre et de les atténuer plus tard.
Le coût et la complexité de la résolution des défauts diminuent généralement à mesure que vous entrez tôt dans leSDLC. Le moyen le plus simple de résoudre les problèmes est de ne pas en avoir. C’est pourquoi le fait de commencer par élaborer un modèle de menace permet de se concentrer sur les bons résultats dès la phase de conception. Au fur et à mesure que votre AppSec programme évolue, vous pouvez augmenter le nombre de tests effectués grâce à l'automatisation, améliorer la fidélité des commentaires transmis aux concepteurs et réduire le temps nécessaire aux examens de sécurité. Toutes ces actions améliorent la qualité du logiciel que vous créez et accélèrent la mise en production des fonctionnalités.
Ces directives de mise en œuvre se concentrent sur quatre domaines : organisation et culture, sécurité du pipeline, sécurité dans le pipeline et gestion des dépendances. Chaque domaine fournit un ensemble de principes que vous pouvez mettre en œuvre et fournit une end-to-end vue d'ensemble de la façon dont vous concevez, développez, développez, déployez et gérez les charges de travail.
Dans AWS, il existe un certain nombre d'approches que vous pouvez utiliser pour aborder votre programme de sécurité des applications. Certaines de ces approches reposent sur la technologie, tandis que d’autres se concentrent sur les aspects humains et organisationnels de votre programme de sécurité des applications.
Bonnes pratiques
- SEC11-BP01 Train pour la sécurité des applications
- SEC11-BP02 Automatiser les tests tout au long du cycle de développement et de publication
- SEC11-BP03 Effectuer des tests de pénétration réguliers
- SEC11-BP04 Révisions du code manuel
- SEC11-BP05 Centraliser les services pour les packages et les dépendances
- SEC11-BP06 Déployer le logiciel par programmation
- SEC11-BP07 Évaluer régulièrement les propriétés de sécurité des pipelines
- SEC11-BP08 Créez un programme qui intègre la responsabilité de la sécurité aux équipes chargées de la charge de travail
