אבטחת מידע בכתיבת קוד–רשמים מכנס

December 3, 2017

no comments

.האחרון שהתקיים באורלנדו השתתפתי בהרצאה על שילוב אבטחת המידע בתהליך כתיבת הקוד live 360 בכנס

. את ההרצאה העביר איש אבטחת המידע של חברת אינטגרציה מובילה בארצות הברית אשר הציג את  המשמעות הכספית והתדמיתית של פגיעה במוצק / חברה כתוצאה מאי הקפדה על אבטחת קוד מתאימה 

.(Veracod state of Security 2017 ) למעשה כ 50% מההתקפות שדווחו בשנת 2016 היו בשיכבת האפליקציה , אף שפועל רק כ 1% מכלל תקציבי אבטחת המידע מכוונים לשיכבה זו 

 

 

:מספר נקודות מרכזיות מההרצאה

.  תהליך אבטחת המידע מאופיין כתהליך גוזל משאבים ומכביד Devil 

.מבוצע בדרך כלל בתהליך האיפיון הראשוני ולא כתהליך מלווה לאורח מחזור הפיתוח Devil

בשינוי / שיפור / הוספת רכיבים חדשים אין בדרך כלל שילוב של גורם אבטחת מידע Devil

במרבית הארגונים לא קיים תהליך סדור של הדרכות ואימון של צוותי הפיתוח לנושא אבטחת המידעDevil

ההמלצה לשלב את אבטחת המידע בכול שלבי הפיתוח , משלב הצגת הבקשות  ועד שיחרור המוצר והוספת עידכונים / תיקוני באגים Devil

יש לבחון באופן מדוקדק רכיבים צד שלישי לפני שמוסיפים אותם כחלק איטגרלי בפתרון התוכנה Devil

 

.Veracod ניתן להרחיב בנושא בדו”ח שפורסם ע”י חברת

 

State of Software Security 2017 by the Numbers

Source: https://www.veracode.com

 

 

שמואל ח

Add comment
facebook linkedin twitter email

Leave a Reply

Your email address will not be published.

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*