Get best of the week

وفر الوقت والجهد في تنفيذ معايير التطوير الآمنة مع OWASP SAMM

في 5 مارس 2020 ، في مكتب OZON ، تم عقد الاجتماع التالي لفرع موسكو لمجتمع OWASP . يبدو أن الأمر كان رائعا ، ولكن تم نشر تقرير موجز مع مواد الاجتماع مؤخرا على حبري . يتم تقديم التقرير في نفس المنصب.oxdef.

استمرارًا لسلسلة التقارير السريعة حول مشاريع OWASP ، سنتحدث اليوم عن OWASP SAMM - أحد أهم المشاريع المجتمعية. في بداية العام ، تم إصدار نسخته الثانية - وهذا سبب وجيه للحديث أكثر عن إطار العمل.

ما هذا؟



يشير اختصار SAMM إلى نموذج نضج ضمان البرنامج - ومن الصعب ترجمته إلى اللغة الروسية بشكل صحيح ( مثل العديد من المصطلحات الإنجليزية من عالم تكنولوجيا المعلومات ). هذا المشروع هو نموذج لأمن البرمجيات وقاعدة معرفية وإطار توثيق يساعد على بناء دورة تطوير تطبيق آمنة. بالضبط ما يفتقر إليه كثيرًا عندما تأتي إلى شركة أو ترغب في القيام بكل شيء في عملك "وفقًا لـ Feng Shui" من وجهة نظر S-SDLC - لتنفيذ جميع "عناصر التحكم" التي سمعت عنها: SAST ، DAST ، study and فهم من أين تبدأ وأين المضي قدما.

يقوم OWASP SAMM بتقييم المستوى الحالي لأمن المعلومات في تطوير البرمجيات ، وعلى هذا الأساس فإنه يسمح لك ببناء برنامج كامل يمكنك تنفيذه في خطوات مفهومة في الإطار الزمني المحدد ، سيكون لديك قائمة بالأنشطة والممارسات للتنفيذ - هذا زائد كبير. يمكن مقارنة ذلك بكتاب يمكنك فتحه ومتابعته.

يتكون OWASP SAMM من الوحدات التالية

  • وصف النموذج نفسه ، نهج بناء SDL ؛
  • الاستبيان هو استبيان كبير ، الإجابة على الأسئلة التي سوف تفهم في أي مستوى أنت الآن. هذا سيجعل خطة للوصول إلى الهدف العزيزة.
  • OWASP SAMM. , , . , — - , . , , .

صورة

دعنا نتناول النموذج. لديها مجموعة من وظائف الأعمال: الإدارة والتصميم والهندسة المعمارية والتطوير والتحقق والعمليات. كانت هناك أربع وظائف عمل في الإصدار السابق ، وخمس وظائف في الإصدار الجديد. يتم تطبيق ثلاث ممارسات لأمن المعلومات على وظائف الأعمال هذه ، والتي يجب تنفيذها ، في كل من هذه الممارسات هناك نشاطان آخران. 30 نشاطًا فقط يمكنك التخطيط بطرق مختلفة للوصول إلى الهدف ، والهدف المحبب في هذه الحالة هو زيادة مستوى النضج.

لدى OWASP SAMM ثلاثة مستويات من النضج. من خلال الجمع بين الأنشطة وتقديمها وتقييمها ، يمكنك فهم التكرارات وتكرارات الأعمال للانتقال إلى مستوى جديد. يتيح لك هذا تحديد الأهداف وخطة للسنة ، والانتقال إليها كل ثلاثة أشهر ، بحيث يمكنك بعد عام تقييم فعالية العمل المنجز.

هناك الكثير من الأنشطة كما لاحظت. على سبيل المثال ، في قسم "التدريب" ، يتم وصفه بالتفصيل ما يمكنك القيام به لزيادة مستوى معرفة المطورين ، وكيفية تقييمه وما إذا كان سيكون كافيًا للانتقال إلى المستوى التالي. هناك قسم منفصل حول إدارة العيوب. من المفيد دائمًا أن تكون قادرًا على تقييم مدى جودة أو سوء الأشياء مع الثغرات الآن ومقارنتها بالطريقة التي كانت عليها من أجل فهم ما يحدث في منتجك من وجهة نظر أمن المعلومات: هل يتم التخلص من كل شيء بشكل منهجي وهل هناك أي شيء آخر إذا إفعلها.

العمل مع SAMM


عادة ، يبدأ تقديم ممارسات التنمية الآمنة بسؤال نفسك: "ولكن هل يمكنني جعل سلامة الغذاء في الشركة؟ تطبيق S-SDLC! " والاستعداد لذلك: التواصل مع رجال الأعمال والتطوير وقادة الفرق لفهم ما إذا كانوا بحاجة إليها.

الخطوة التالية هي تقييم الوضع الحالي. يسمح لك الاستبيان بجمع معلومات الأمان في شركة من عدد كبير من الأشخاص. كلما كان هناك ، كلما كانت البيانات تعكس الواقع بشكل أفضل.

هنا لديك تقييم للوضع الحالي. الآن أنت تفهم أين تحتاج إلى التحرك والغرض من الذهاب. في هذا المستوى ، تنظر إلى الأهداف وتشكل خطة ، وسيساعدك الاستبيان المقترح على ترتيبها على مراحل من شهر إلى عام.

ثم تبدأ المتعة - تنفيذ إجراءات التحكم مباشرة ، على سبيل المثال ، نفس SAST ( لا تنس أن تفكر على الفور في مقاييس الأداء ). وفي النهاية ، يتم طرح التطبيق - وهذا نوع من الإجراءات اللاحقة لخطواتك. في هذه المرحلة ، أنت تدرك أن كل ما فكرت فيه وقدمته ، أولاً ، يعمل ، وثانيًا ، يمكن ملاحظته ، على الأقل بالنسبة "لشركاء الأعمال" وبالنسبة لك أيضًا.

عند هذه النقطة ، يمكنك أخذ قسطًا من الراحة لاكتساب القوة والانتقال إلى المستوى التالي. وتبدأ الدورة بأكملها من جديد - مع مثل هذه التكرارات ، ستقوم ببناء S-SDLC.

كما قلت في البداية ، فإن السؤال الأكثر شيوعًا عندما ستقوم بتطبيق S-SDL أو SDLC في الشركة هو: "من أين تبدأ؟". من المهم هنا أنه كلما كنت ستفعل ذلك ، سيكون لديك فرصة ألا تكترث بتنفيذ SAST أولاً ، أو كتابة الإرشادات بنفسك أو إجراء التدريب - فقط خذ إطارًا رسميًا وقم ببناء استراتيجيتك عليه وبناء عليه نتيجة لذلك برنامج أمن المعلومات لتطوير تطبيقاتك. مع هذا ، سوف يساعدك OWASP SAMM.

الأسئلة:


- هل يمكنك إخبارنا عن تجربتك في تنفيذ OWASP SAMM؟

- حول OWASP SAMM ، تعلمت قبل بضع سنوات. كل ما فعلناه في المشاريع السابقة كان على حدس بناء على الخبرة. في SAMM ، كل شيء مكتوب ، والأهم من ذلك - قابل للقياس. أخيرًا ، ستكون قادرًا على فهم مدى فعالية تنفيذ التغيير. في Ozon ، أخذنا قسمًا حول التدريب وثقافة أمن المعلومات واستنادا إلى ذلك قمنا بإعداد عدد من العمليات: دورات تدريبية منظمة ، وبدأنا في إجراء موظفين جدد من خلال الاستبيانات واختبار أمن المعلومات ، ونفذنا أنشطة مختلفة ، وزاد مستوى أمن المعلومات في رؤوسنا. في المستقبل ، سوف نذهب من خلال وحدات أخرى.

- هل أحتاج إلى توفير التدريب لمديري المشاريع حتى يفهموا ما هو S-SDLC؟

- في OWASP SAMM على مختلف مستويات النضج ، من المتوقع تطوير التدريب. في المستوى الأول ، على سبيل المثال ، تقوم بإنشاء مدخل داخلي حيث تنشر روابط لموارد مفيدة. في المستوى التالي - قم بتكوين تدريبات وأدلة متخصصة. توجد في بوابتنا الداخلية أدلة منفصلة للمجموعات المستهدفة: المطورين والمديرين وضمان الجودة. في المستوى الثالث ، هناك حاجة لقياس الجودة وفهم مدى جودة دراسة كل شخص للمواد والأدلة - ربما لا ينبغي السماح لشخص ما بالدخول في مشروع بالغ الأهمية دون مستوى معين من اختبار أمن المعلومات. لقد تجاوزنا جميع هذه المستويات وانتقلنا تقريبًا إلى المستوى الثالث.

— , , . , , , ?

- لا أستطيع أن أقول أن إثبات الحاجة إلى التدريب أسهل من إثبات فعالية SAST. تعد فعالية أمن المعلومات موضوعًا لتقرير كبير منفصل يحتوي على أرقام ومقاييس ورسوم بيانية. في المستوى الأول ، قد يكون كافيًا أن يكون لديك إحصاءات ، على سبيل المثال ، وفقًا لمتوسط ​​النقاط للمطورين لديك. بالنسبة للخدمات الهامة بشكل خاص ، يمكن زيادة هذا الشريط. ولإثبات ذلك ، يبدو لي أنه سيكون أسهل ، لأنه سيكون من الممكن إظهار القيادة: تزداد معرفة المطورين في مجال أمن المعلومات ، لأن هناك مقياس لعدد الإجابات الصحيحة. تمارس العديد من الشركات الكبيرة إجراء CTFs داخلية - إذا رأيت أن الكثير من الأشخاص يشاركون في المسابقة ، فإن الجميع مهتمون وينمو عدد المشاركين من عام لآخر ، وهذا يعني أن مستوى المعرفة في ازدياد.كما هو الحال في جميع أمن المعلومات ، لا يوجد مقياس واحد هنا - فهو دائمًا مجموعة من المؤشرات التي يمكنك من خلالها التنقل لإظهار الديناميكيات في مناطق معينة.

- هل هذا النظام معقد للغاية؟ ألا تتناثر عيون من يبدأ العمل مع هذا؟ ربما يجب عليك أولاً محاولة التوصل إلى شيء بنفسك ، ثم اللجوء إلى OWASP؟

- نفسه سيكون أطول بكثير. فقط بمساعدة نهج OWASP SAMM أكثر رسمية ( مفكك ) ، يمكنك توفير الوقت لمهام أخرى وعدم التفكير في ما يجب عليك فعله أولاً وما هي الأرقام التي تثبت بعد ذلك لنفسك وللإدارة أن العمل فعال. في هذه الحالة ، نأخذ OWASP SAMM وبناءً عليه نقوم بإنشاء برنامجنا الخاص. يسمح لك بالتسريع بشكل كبير ، على الأقل في البداية ، وعدم إضاعة الوقت في الحصول على الخبرة ، والتقاط المخاريط وما شابه.

More articles:


All Articles