SEC11-BP01 Train untuk keamanan aplikasi - Pilar Keamanan
Panduan implementasi Sumber daya

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

SEC11-BP01 Train untuk keamanan aplikasi

Berikan pelatihan kepada builder dalam organisasi Anda mengenai praktik umum untuk pengembangan dan pengoperasian aplikasi yang aman. Adopsi praktik pengembangan yang berfokus pada keamanan akan membantu mengurangi kemungkinan munculnya masalah yang hanya terdeteksi pada tahap peninjauan keamanan.

Hasil yang diinginkan: Perangkat lunak harus dirancang dan dibangun dengan mempertimbangkan keamanan. Saat builder di sebuah organisasi berlatih praktik pengembangan aman yang dimulai dengan model ancaman, langkah ini meningkatkan keseluruhan kualitas dan keamanan perangkat lunak yang dibuat. Pendekatan ini dapat mempersingkat waktu untuk mengirimkan perangkat lunak atau fitur karena tidak perlu banyak pengerjaan ulang setelah tahap peninjauan keamanan.

Untuk tujuan praktik terbaik ini, pengembangan aman mengacu pada perangkat lunak yang sedang ditulis dan alat atau sistem yang mendukung siklus hidup pengembangan perangkat lunak ()SDLC.

Anti-pola umum:

  • Menunggu sampai peninjauan keamanan, lalu mempertimbangkan karakteristik keamanan sistem.

  • Menyerahkan semua keputusan keamanan kepada tim keamanan.

  • Gagal mengkomunikasikan bagaimana keputusan yang diambil SDLC terkait dengan harapan keamanan atau kebijakan organisasi secara keseluruhan.

  • Terlambat melibatkan diri dalam proses peninjauan keamanan.

Manfaat menjalankan praktik terbaik ini:

  • Memiliki pengetahuan yang lebih baik seputar persyaratan organisasi untuk keamanan pada fase awal siklus pengembangan.

  • Dapat mengidentifikasi dan mengatasi potensi masalah keamanan lebih cepat, sehingga dapat mengirim fitur lebih cepat.

  • Peningkatan kualitas perangkat lunak dan sistem.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan: Sedang

Panduan implementasi

Sediakan pelatihan kepada builder di organisasi Anda. Memulai dengan kursus pemodelan ancaman adalah sebuah fondasi yang baik untuk membantu melatih keamanan. Idealnya, builder harus dapat mengakses secara mandiri informasi yang relevan dengan beban kerja mereka. Akses ini membantu mereka mengambil keputusan yang tepat tentang karakteristik keamanan sistem yang mereka bangun tanpa perlu bertanya kepada tim lain. Proses melibatkan tim keamanan untuk peninjauan harus diatur dengan jelas dan mudah diikuti. Langkah-langkah di proses peninjauan harus disertakan dalam pelatihan keamanan. Jika tersedia templat atau pola implementasi yang diketahui, keduanya harus mudah dicari dan berhubungan dengan persyaratan keamanan keseluruhan. Pertimbangkan untuk menggunakan AWS CloudFormation, AWS Cloud Development Kit (AWS CDK) Constructs, Service Catalog, atau alat pembuat templat lainnya untuk mengurangi kebutuhan konfigurasi kustom.

Langkah-langkah implementasi

  • Mulailah pelatihan builder dengan kursus tentang pemodelan ancaman untuk membangun landasan yang baik, dan bantu latih mereka tentang cara berpikir tentang keamanan.

  • Menyediakan akses ke AWS Training dan Sertifikasi, industri, atau pelatihan AWS Mitra.

  • Berikan pelatihan terkait proses peninjauan keamanan organisasi Anda, yang menguraikan pembagian tanggung jawab antara tim keamanan, tim beban kerja, dan pemegang kepentingan lainnya.

  • Publikasikan panduan layanan mandiri terkait cara memenuhi persyaratan keamanan Anda, termasuk templat dan contoh kode, jika tersedia.

  • Dapatkan umpan balik secara rutin dari tim builder terkait pengalaman mereka seputar pelatihan dan proses peninjauan keamanan, dan gunakan umpan balik tersebut untuk meningkatkan kualitasnya.

  • Gunakan kampanye game day atau bug bash untuk membantu menurunkan jumlah masalah, dan mengasah kemampuan builder Anda.

Sumber daya

Praktik-praktik terbaik terkait:

Dokumen terkait:

Video terkait:

Contoh terkait:

Layanan terkait: