Sécurité des applications

La sécurité des applications (AppSec) décrit le processus global de conception, d’élaboration et de test des propriétés de sécurité des charges de travail que vous développez. Vous devez disposer de personnes correctement formées dans votre organisation, comprendre les propriétés de sécurité de votre infrastructure de création et de diffusion, et utiliser l’automatisation pour identifier les problèmes de sécurité.

L’adoption de tests de sécurité des applications dans le cadre du cycle de développement des logiciels (SDLC) et des processus de validation permet de s’assurer que vous disposez d’un mécanisme structuré pour identifier, corriger et prévenir les problèmes de sécurité des applications dans votre environnement de production.

Votre méthodologie de développement d’applications doit inclure des contrôles de sécurité lors de la conception, de l’élaboration, du déploiement et de l’exploitation de vos charges de travail. Ce faisant, alignez le processus afin de limiter les défauts en continu et de minimiser la dette technique. Par exemple, l’utilisation de la modélisation des menaces au cours de la phase de conception permet de découvrir rapidement les défauts de conception, ce qui les rend plus faciles et moins coûteux à corriger que d’attendre et de les atténuer plus tard.

Généralement, plus vous avancez dans le cycle de vie du développement logiciel, plus le coût et la complexité de la résolution des failles augmentent. Le moyen le plus simple de résoudre les problèmes est de ne pas en avoir. C’est pourquoi le fait de commencer par élaborer un modèle de menace permet de se concentrer sur les bons résultats dès la phase de conception. À mesure que votre programme AppSec gagne en maturité, vous pouvez augmenter la quantité de tests effectués à l’aide de l’automatisation, améliorer la pertinence des commentaires aux concepteurs et réduire le temps nécessaire pour les examens de sécurité. Toutes ces actions améliorent la qualité du logiciel que vous créez et accélèrent la mise en production des fonctionnalités.

Ces directives de mise en œuvre se concentrent sur quatre domaines : organisation et culture, sécurité du pipeline, sécurité dans le pipeline et gestion des dépendances. Chaque domaine fournit un ensemble de principes que vous pouvez implémenter ainsi qu’une vue d’ensemble de la manière dont vous concevez, développez, construisez, déployez et exploitez les charges de travail.

Au sein d’AWS, il existe un certain nombre d’approches que vous pouvez utiliser lorsque vous abordez votre programme de sécurité des applications. Certaines de ces approches reposent sur la technologie, tandis que d’autres se concentrent sur les aspects humains et organisationnels de votre programme de sécurité des applications.

Bonnes pratiques

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

SEC10-BP08 Mettre en place un cadre pour tirer les leçons des incidents

SEC11-BP01 Formation à la sécurité des applications