Bezpečný vývoj aplikací od myšlenky po nasazení

Důvodů, proč na bezpečnost při vývoji aplikací myslet hned na začátku, je mnoho. Tím hlavním ale je, že v konečném důsledku jsou náklady na celkový životní cyklus aplikace nižší. Ve chvíli, kdy je bezpečnost integrální součástí aplikace už od začátku, znamená to, že například i vlastní design a návrh aplikace rovnou s bezpečným přístupem počítá.

Proč je bezpečný vývoj potřeba

Společnost AEC přináší díky Secure SDLC (Software Development LifeCycle) do vývoje aplikací kvalitativně vyšší úroveň bezpečnosti. Pomocí Secure SDLC dokážeme aplikovat bezpečnostní principy a standardy přímo v průběhu celého životního cyklu softwaru. Ve spojení s našimi dlouholetými zkušenostmi a znalostmi Secure SDLC pomáhá identifikovat a eliminovat potenciálně zranitelná místa aplikací.

Víme, že mnoho současného softwaru je architektonicky vyřešeno správně až na otázky bezpečnosti. Vývojáři a testeři se často soustředí především na požadované funkce a jejich správnou činnost. Zapomínají ale na to, že dodatečné řešení bezpečnosti, například až ke konci vývoje aplikace, může způsobit značné ztráty.

Pokud není bezpečnost integrální součástí celého životního cyklu softwaru (SDLC - Software Development LifeCycle), běžně dochází k různým opomenutím a vzniku bezpečnostních děr. Kromě toho není bezpečný ani vlastní vývoj, kdy často nejsou vůbec nastaveny povinnosti a odpovědnosti vývojářů při ochraně vytvářeného kódu.

Výhody integrované bezpečnosti

Z průzkumů agentur Gartner, IBM X-Force a dalších vyplývají důležité údaje.

  • 75 % bezpečnostních incidentů vzniká v aplikaci (analýza Gartner)
  • 37 % identifikovaných zranitelností je spojených s vývojem webových aplikací (analýza IBM X-Force)
  • 36 % firem nevyužívá webové aplikaci kvůli obavě o svoji bezpečnost (analýza Forrester)
    Secure SDLC dodávané společností AEC přitom přináší následující výhody
  • Nižší celkové náklady na vlastnictví (TCO) a vyšší návratnost. Například odstranění 50 procent zranitelností ve fázi před nasazením aplikace do produkce znamená o 75 procent nižší náklady, než odstraňovaní po uvedení do provozu (analýza Gartner)
  • Náprava bezpečnostních chyb ve fázi analýzy je 100krát levnější, než jejich oprava v již hotovém softwaru (analýza Fortify Software)
  • Pomocí Secure SDLC také snížíte provozní rizika a posílíte dobré jméno vaší společnosti

Vybrané principy bezpečného vývoje

  • Princip nejmenšího privilegia.
  • Oddělení zodpovědnosti.
  • Nedůvěřovat infrastruktuře (Don’t trust infrastructure).
  • Princip hloubkové ochrany (Principle of Defence in depth).

Jak vám AEC pomůže

Společnost AEC vytvoří ucelenou metodiku bezpečného vývoje aplikací (Secure SDLC). Při tvorbě metodiky vycházíme z aktuální používané projektové metodologie a současných vývojových procesů zákazníka. A to včetně procesů spojených s plánováním a organizací. Do metodiky jsou bezpečnostní principy a mechanismy zapracovány tak, aby obsahovaly osvědčené postupy bezpečného vývoje odladěného pro prostředí zákazníka a aktuálně vyvíjené aplikace.


Materiály ke stažení:

aec_bva.pdf (121.3K)

Kontakt

Kontaktní osoba pro další informace nebo cenovou nabídku:
Tomáš Strýček
E-mailové adresy v AEC jsou ve tvaru: jmeno.prijmeni@aec.cz