مشاوره استقرار امنیت اطلاعات در چرخه حیات توسعه نرم‌افزارها (SSDLC و DevSecOps)

برای تولید و تحویل یک نرم‌افزار امن و کاهش هزینه‌ها و سربارهای رسیدن به امنیت موردنظر، می‌بایست فعالیت‌های امنیتی موردنیاز در سراسر چرخه حیات تولید نرم‌افزار در نظر گرفته شوند. به این معنا که به جای موکول کردن موضوع امنیت به فازهای پایانی چرخه حیات، بهتر است آموزش‌ها، فرایندها و تکنولوژی‌های موردنیاز در هر مرحله از چرخه حیات در نظر گرفته شوند.

در همین راستا، شرکت‌های مطرح دنیا همانند مایکروسافت از سا‌ل‌ها پیش به دنبال تدوین و پیاده‌سازی یک برنامه برای تضمین امنیت نرم‌افزار در چرخه حیات توسعه نرم‌افزارهای خود بوده‌اند که در نتیجه آن مدل‌های بلوغ، چارچوب‌ها، به‌روش‌ها و استانداردهای بسیاری پدید آمدند که OWASP SAMM، Microsoft SDL، Synopsys BSIMM، OWASP ASVS، OWASP DSOMM و NIST SSDF نمونه‌ای از آنها هستند

شرکت امین رای، با بررسی مدل‌های بلوغ، چارچوب‌ها، به‌روش‌ها و استانداردهای موجود در حوزه استقرار امنیت اطلاعات در چرخه حیات توسعه نرم‌افزارها و تجربیاتی که تاکنون در این حوزه کسب کرده است، اقدام به ارائه خدماتی شامل انواع فعالیت‌های امنیتی قابل انجام در چرخه حیات توسعه نرم‌افزارها نموده است. این فعالیت‌ها برای هر سازمان، شرکت یا تیمی که به نوعی با توسعه داخلی یا برون‌سپاری شده نرم‌افزارها سروکار دارند، در هر مقیاس و سطح بلوغ و با هر متدولوژی برای چرخه حیات خود، قابل انتخاب و انجام هستند. 

برخی از خدمات شرکت امین رای در این حوزه به شرح زیر هستند:

• سنجش سطح بلوغ امنیت اطلاعات در چرخه حیات توسعه نرم‌افزارها (SDLC) برمبنای مدل‌های بلوغ، چارچوب‌ها، به‌روش‌ها و استانداردهای موجود 
• تدوین نقشه‌راه فازبندی و اولویت‌بندی شده فعالیت‌های امنیتی جهت بهبود وضعیت فعلی امنیت اطلاعات در چرخه حیات توسعه نرم‌افزارهای سازمان یا شرکت
• تدوین برنامه آموزشی مدون، ساختارمند و نقش‌محور برای ارائه آموزش‌های موردنیاز
• مدلسازی انواع تهدیدهای فنی و کسب و کاری نرم افزارها و ارائه راهکارهای کاهش تهدیدها
• مشاوره طراحی معماری امنیتی نرم افزار برمبنای اصول طراحی امن و معماری‌های مرجع امنیتی موجود در سطح دنیا
• آموزش استخراج نیازمندی‌های امنیتی نرم‌افزارها برمبنای استانداردها و به‌روش‌های موجود در دنیا همانند OWASP ASVS و ISO 15408 و مستندسازی آنها برمبنای قالب‌های استاندارد موجود در دنیا
• مشاوره طبقه‌بندی نرم‌افزارها از جنبه‌های مختلف برای استخراج پروفایل ریسک آنها
• تهیه قوانین کدنویسی امن به ازای فریم‌ورک‌ها و زبان‌های مختلف برای برنامه‌های کاربردی وب، دسکتاپ و موبایل برمبنای استانداردها و راهنماهای موجود در دنیا همانند ASVS، SEI CERT Coding Standards و سیلابس EC-Council CSP
• ارائه آموزش‌های کدنویسی امن
• مشاوره پیاده‌سازی رویکرد DevSecOps جهت ارتقای امنیت اطلاعات محصول نهایی بدون تداخل در چابکی فرایندهای چرخه حیات توسعه نرم‏افزار
• انجام انواع تست‌ها، ارزیابی‌ها و ممیزی امنیتی نرم‌افزار شامل تست نفوذپذیری، بازبینی امنیتی سورس کد، ارزیابی امنیتی مولفه‌های شخص‌ثالث همانند dependencyها و کتابخانه‌ها، ارزیابی امنیتی تکنولوژی‌های مورداستفاده برای توسعه، استقرار و عملیاتی شدن نرم‌افزارها و مقاوم‌سازی آنها
• مشاوره طراحی و پیاده‌سازی سیستم مدیریت آسیب‌پذیری‌های نرم افزارها
• مشاوره طراحی و پیاده‌سازی سیستم مدیریت دانش امنیت نرم‌افزارها
• مشاوره تنظیم قراردادهای برون‌سپاری توسعه نرم‌افزارها
• مشاوره طبقه‌بندی و حفاظت از داده‌ها
• مشاوره مدیریت حوادث امنیتی مرتبط با نرم‌افزارها