Jonathan Marcil
[email protected]
@jonathanmarcil
présenté en
tweet-o-rama!
@jonathanmarcil
Plusieurs nomenclatures
Software security is the idea of engineering software so that it continues to function correctly under malicious attack.
-- Building Security In, Gary McGraw
infosec est basé sur la sécurité de l'information et swsec est basé sur la sécurité des logiciels
Application security is a process performed to apply controls and measurements to an organization’s applications in order to manage the risk of using them.
-- ISO IEC 27034, Luc Poulin
SA de ISO 27034 est plus large que logiciel et ISO 27001 est la gestion des risques de sécurité de l'information
Application security (short: AppSec) encompasses measures taken throughout the code's life-cycle to prevent gaps in the security policy of an application or the underlying system (vulnerabilities) through flaws in the design, development, deployment, upgrade, or maintenance of the application.
-- Wikipedia, 175 rédacteurs
o_O
The Security Development Lifecycle (SDL) is a software development process that helps developers build more secure software and address security compliance requirements while reducing development cost.
-- Microsoft Trustworthy Computing team
Suite à la note de Bill Gates en 2002
Building security in
ISO 27034
Microsoft SDL
Life cycle?
A Software Development Life Cycle is essentially a series of steps, or phases, that provide a model for the development and lifecycle management of an application or piece of software.
-- Google Allmighty
Application Lifecycle Management Application lifecycle management is the product lifecycle management (governance, development, and maintenance) of application software.
-- Google Allmighty
La sécurité applicative est donc l'intégration des activités, contrôles et pratiques dans le cycle de vie d'un logiciel ou d'une application afin de gérer les risques de sécurité
Activités/contrôles/pratiques
dans le cycle de vie
Projets à utiliser comme activités, pour définir des contrôles et guider les pratiques.
En fonction du cycle de vie existant, choisir les activités de sécurité applicative en les priorisants permet d'adresser les risques.
On obtient ainsi un programme de sécurité applicative
Le choix des activités du programme de sécurité applicative est limité par la capacité des intervenants en sécurité à comprendre le SDLC/ALM ainsi que par la capacité des équipes de développements à comprendre les principes de sécurité.
Merci !
Liens sur @jonathanmarcil