SlideShare ist ein Scribd-Unternehmen logo

Raport z badania - Praktyki wytwarzania bezpiecznego oprogramowania

SecuRing
SecuRing

Bezpieczeństwo wytwarzanego oprogramowania nie jest wynikiem przypadku. Żeby otrzymać aplikację wolną od podatności trzeba wpisać bezpieczeństwo w cały cykl rozwojowy oprogramowania. Postanowiliśmy sprawdzić czy i jakie metody osiągnięcia tego celu są stosowane w firmach tworzących oprogramowanie. Prezentujemy raport z badania praktyk wytwarzania bezpiecznego oprogramowania przeprowadzonego przez nas podczas konferencji 4Developers 2014.

Technologie
1 von 8
Downloaden Sie, um offline zu lesen
SecuRing Badanie praktyki wytwarzania bezpiecznego oprogramowania Raport Na wstępie pragniemy serdecznie podziękować ponad 50 specjalistom z  firm zajmujących się wytwarzaniem oprogramowania, którzy zechcieli poświęcić swój czas i wziąć udział w naszym badaniu.
SecuRingBadanie“praktykiwytwarzaniabezpiecznegooprogramowania” 2 Celem badania było sprawdzenie, jakie praktyki w  zakresie wytwarzania bezpiecznegooprogramowaniasąstosowanew polskichfirmach.Badaniepolegało na przeprowadzeniu ankiety wśród specjalistów uczestniczących w  konferencji 4Developers 2014. Kluczowe wnioski wynikające z opracowania wyników ankiet. Najczęściej stosowane praktyki:• śledzenienabieżącoi reagowanienabłędywykrywanew stosowanych»» komponentach, frameworkach i bibliotekach, testy bezpieczeństwa i implementacja poprawek wynikających z tych»» testów, przeglądy kluczowych części kodu w zakresie bezpieczeństwa.»» Praktyki te stosowane są w ponad połowie badanych firm. Szkolenia z  zakresu bezpiecznego programowania (nawet na poziomie• podstawowym) w dalszym ciągu nie są powszechnie stosowane, mimo iż jest to skuteczny i łatwy do wprowadzenia środek prewencyjny. W znacznej części projektów bezpieczeństwo jest na pewnym poziomie• uwzględniane, ale wymagania w tym zakresie nie są spisywane, tak więc również nie mogą być w sposób uporządkowany weryfikowane podczas wytwarzania i wdrażania. W  większości projektów• (73%) są wprowadzane poprawki wynikające z testów bezpieczeństwa i nie znalazł się ani jeden przypadek, w którym po wykonaniu testów bezpieczeństwa nie trzeba byłoby takich poprawek wprowadzać. Testy bezpieczeństwa często są wykonywane• jedynie przez odbiorcę oprogramowania. Mniejniżpołowaz osób,któremiałydoczynieniaz testamibezpieczeństwa,• uznało, że dostarczony przez wykonawcę testów bezpieczeństwa raport był zrozumiały. Tak więc istnieje widoczna konieczność poprawy jakości usług testowania bezpieczeństwa. Streszczenie
SecuRingBadanie“praktykiwytwarzaniabezpiecznegooprogramowania” 3 Badanie przeprowadziliśmy podczas konferencji 4Developers 6 kwietnia 2014.Danezbieranebyłyzapomocąformularzyankietowychwypełnianych przez uczestników konferencji. Metodyka Pytania zostały skonstruowane na podstawie standardu OWASP OpenSAMM “Security Assurance Maturity Model”1 w zakresie pierwszej fazy wdrożenia zasad dobrej praktyki dla firm produkujących oprogramowanie. Uczestnicy badania W badaniu wzięło udział 52 pracowników z 42 firm. Większość ankietowanych to programiści (56%) lub starsi programiści (17%). 17% osób pracowało na stanowiskach managerskich. Większość z odpowiadających na pytania stwierdziło, że z tematami dotyczącymi bezpieczeństwa aplikacji ma do czynienia na co dzień (31%) lub czasami (48%). Natomiast zdaniem 73% biorących udział w badaniu projekty, w których uczestniczą, mogą być obiektem ataków. 56% 17% 17% 6% 4% programista starszy programista stanowisko managerskie tester analityk/architekt 1 http://www.opensamm.org/
SecuRingBadanie“praktykiwytwarzaniabezpiecznegooprogramowania” 4 Badane praktyki W ankiecie pytaliśmy o następujące praktyki, mające na celu wytwarzanie bezpiecznego oprogramowania: Zarządzanie Prewencja Analiza i Projektowanie Wytwarzanie i wdrażanie Wdrożenie uporządkowanego planu zapewnienia bezpieczeństwa• wytwarzanego lub zamawianego oprogramowania. Wyznaczenie osoby odpowiedzialnej za bezpieczeństwo aplikacji.• Szkolenia z zakresu bezpieczeństwa oprogramowania.• Śledzenie i reagowanie na błędy wykrywane w stosowanych• komponentach, frameworkach i bibliotekach. Analiza najbardziej prawdopodobnych zagrożeń i dobranie• odpowiednich dla nich zabezpieczeń (modelowanie zagrożeń). Opisywanie w specyfikacji wymagań dotyczących• bezpieczeństwa – w tym wymagań niefunkcjonalnych. Formułowanie wymagań dotyczących bezpieczeństwa na• podstawie analizy ryzyka lub zasad dobrej praktyki i zgodności z obowiązującymi przepisami. Przeglądy kluczowych części kodu w zakresie bezpieczeństwa.• Testy bezpieczeństwa przed wdrożeniem, zgodnie z przyjętymi• wymaganiami. Implementacja poprawek wynikających z testów• bezpieczeństwa. Stosowanie narzędzi automatycznych, wyszukujących defekty• bezpieczeństwa. Obszar Praktyki
SecuRingBadanie“praktykiwytwarzaniabezpiecznegooprogramowania” 5 WynikiBadania Najczęściej stosowane praktyki Najczęściej stosowane dobre praktyki według wypełniających naszą ankietę to: śledzenie na bieżąco i  reagowanie na błędy wykrywane w  stosowanych• komponentach, frameworkach i  bibliotekach (77% odpowiedzi). Wynik ten jest zgodny z rezultatami innych badań, np. monitoringu repozytoriów komponentów (szczegóły poniżej w rozdziale „Prewencja” ), testy bezpieczeństwa i  implementacja poprawek wynikających z  tych• testów (73%). Należy jednak zauważyć, że znaczna część tych testów to prawdopodobnie testy wykonywane przez odbiorcę oprogramowania (szczegóły w rozdziale „Wytwarzanie i wdrażanie” ), przeglądy kluczowych części kodu w zakresie bezpieczeństwa (65%).• 38% 38% 38% 77% 44% 48% 31% 73% 65% 42% 46% Zarządzanie Prew encja Analiza i projektow anie W ytw arzanie iw drazanie
SecuRingBadanie“praktykiwytwarzaniabezpiecznegooprogramowania” 6 Zarządzanie W ankiecie pytaliśmy czy w firmach, w ramach kluczowych projektów, jest stosowany wystandaryzowany program zapewnienia bezpieczeństwa wytwarzanego oprogramowania oraz czy jest wyznaczona osoba odpowiedzialna za bezpieczeństwo aplikacji. W  obydwu przypadkach ilość odpowiedzi twierdzących była taka sama – około 38%. Zastanawiająca jest jednak korelacja między tymi odpowiedziami. Tylko co czwarty ankietowany, który twierdził, że w firmie istnieje spójny program zapewnienia bezpieczeństwa, odpowiedział twierdząco na pytanie dotyczące osoby odpowiedzialnej za bezpieczeństwo aplikacji. Wyznaczenie takiej osoby jest kluczowym elementem każdego programu zapewnienia jakości. Prewencja Pytaliśmy o  dwie praktyki prewencyjne – o  szkolenia oraz monitorowanie błędów ujawnianych w  stosowanych komponentach. Większość (77%) odpowiadających stwierdziła, że śledzą błędy wykrywane we frameworkach i bibliotekach oraz reagują na te informacje. Uzyskane dane w pewnym stopniu pokrywają się z  niezależnymi badaniami Sonatype i  Aspect Security2 , z  których wynikło, że w 26% przypadków stosowane są „dziurawe” wersje bibliotek i frameworków. Na pytanie czy architekci, programiści i  testerzy przeszli podstawowe przeszkolenie z  zakresu bezpiecznego programowania 38% badanych odpowiedziało twierdząco. To niewiele, jeśli weźmiemy pod uwagę, że jest to podstawowy, bardzo skuteczny i  łatwy do wprowadzenia środek zmierzający do podniesienia jakości oprogramowania w zakresie bezpieczeństwa. 38% 38% 38% 77% Wdrożenie uporządkowanego planu zapewnienia bezpieczeństwa wytwarzanego lub zamawianego oprogramowania. Wyznaczenie osoby odpowiedzialnej za bezpieczeństwo aplikacji. Szkolenia z zakresu bezpieczeństwa oprogramowania. Śledzenie i reagowanie na błędy wykrywane w stosowanych komponentach, frameworkach i bibliotekach. 2 The Unfortunate Reality of Insecure Libraries: https://www.aspectsecurity.com/uploads/ downloads/2012/03/Aspect-Security-The-Unfortunate-Reality-of-Insecure-Libraries.pdf
SecuRingBadanie“praktykiwytwarzaniabezpiecznegooprogramowania” 7 Wytwarzanie i wdrażanie Tylko 42% badanych potwierdziło, że przed wdrożeniem wykonują lub zamawiają testy bezpieczeństwa, natomiast aż 73% pytanych potwierdziło, że implementowali poprawki wynikające z  testów bezpieczeństwa. Prawdopodobnie ta różnica wynika z tego, że często testy bezpieczeństwa wykonuje jedynie odbiorca oprogramowania. Warto przy tym zauważyć, że tylko 43% z osób, które miały do czynienia z testami bezpieczeństwa uznało, że „dostarczony przez wykonawcę testów bezpieczeństwa raport był zrozumiały i  nie wzbudzał kontrowersji”. Wśród ankietowanych nie znalazł się ani jeden przypadek, w  którym testy bezpieczeństwa były wykonywane, ale nie skutkowało to wprowadzeniem koniecznych poprawek. Około połowa ankietowanych firm (46%) stosuje narzędzia automatycznie wyszukujące defekty bezpieczeństwa. Natomiast aż 65% pytanych stwierdziło, że w ich firmach są stosowane przeglądy kluczowych części kodu w zakresie bezpieczeństwa. Analiza i projektowanie 44% odpowiadających na pytania potwierdziło, że w ich firmach stosuje się modelowanie zagrożeń, tzn. są analizowane najbardziej prawdopodobne zagrożenia dotyczące ataków na aplikacje. Podobna liczba osób (48%) stwierdziła również, że wymagania dotyczące bezpieczeństwa są formułowane na podstawie analizy ryzyka lub zasad dobrej praktyki i  zgodności z  obowiązującymi przepisami. Natomiast tylko 31% ankietowanych potwierdziło, że wymagania dotyczące bezpieczeństwa są opisane w  specyfikacji. Można z  tego wyciągnąć wniosek, że w  znacznej części projektów bezpieczeństwo jest uwzględniane, ale wymagania w tym zakresie nie są spisywane, co powoduje, że nie mogą być w sposób uporządkowany weryfikowane podczas wytwarzania i wdrażania. 44% 31% 48% 73% 65% 42% 46% Analiza najbardziej prawdopodobnych zagrożeń i dobranie odpowiednich dla nich zabezpieczeń (modelowanie zagrożeń). Przeglądy kluczowych części kodu w zakresie bezpieczeństwa. Opisywanie w specyfikacji wymagań dotyczących bezpieczeństwa – w tym wymagań niefunkcjonalnych. Formułowanie wymagań dotyczących bezpieczeństwa na podstawie analizy ryzyka lub zasad dobrej praktyki i zgodności z obowiązującymi przepisami. Testy bezpieczeństwa przed wdrożeniem, zgodnie z przyjętymi wymaganiami. Implementacja poprawek wynikających z testów bezpieczeństwa. Stosowanie narzędzi automatycznych, wyszukujących defekty bezpieczeństwa.
SecuRingBadanie“praktykiwytwarzaniabezpiecznegooprogramowania” 8 SecuRing to zespół ekspertów zajmujących się bezpieczeństwem aplikacji i  systemów informatycznych. Naszą misją jest zapewnienie wsparcia dla naszych partnerów na każdym etapie procesu, jakim jest zarządzanie bezpieczeństwem aplikacji.OSecuRing Oferujemy między innymi: testy bezpieczeństwa aplikacji webowych, mobilnych, WebService,• grubego klienta, embeded systems, SaaS i innych, analizę ryzyka, modelowanie zagrożeń – przed przystąpieniem• do implementacji, wsparcie w definiowaniu założeń dotyczących bezpieczeństwa,• ocenę projektu systemu pod względem bezpieczeństwa,• pomoc we wpisaniu bezpieczeństwa w  cały cykl rozwoju i  utrzymania• systemów. Nasza firma działa od 2003 roku i  w  tym okresie z  naszych usług skorzystały  czołowe banki, instytucje ubezpieczeniowe, operatorzy telekomunikacyjni, firmy tworzące oprogramowanie, a  także instytucje administracji centralnej zarówno w  Polsce jak i  za granicą. Staramy się dostarczać usług o wysokiej jakości, opartych na wiedzy naszych pracowników i doświadczeniu firmy. Przejrzyj nasze prezentacje i raporty: http://www.slideshare.net/wojdwo. Nasza strona www: http://www.securing.pl Koszt usuwania defektów bezpieczeństwa wykrytych przez odbiorcę aplikacji  jest wielokrotnie wyższy, niż koszt wykrycia i  usunięcia potencjalnego  defektu po stronie firmy wykonującej aplikację. Nasz zespół zdobywał swoje doświadczenie pracując przez wiele lat przy testach bezpieczeństwa dla klientów końcowych. Jeśli chcesz mieć pewność, że aplikacje i systemy dostarczane przez Twoją firmę są właściwie zabezpieczone i pragniesz, by klienci Twojej firmy postrzegali ją jako partnera, do którego produktów można mieć zaufanie – skorzystaj z  naszych usług. Jeśli chcesz uzyskać więcej informacji, skontaktuj się z nami pod telefonem +48 12 4252575 lub email-em info@securing.pl. www.securing.pl info@securing.pl +48 12 4252575

Empfohlen

Jakość utracona v13
Jakość utracona v13Jakość utracona v13
Jakość utracona v13
magda3695
 
OWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce
OWASP CISO Survey 2014 - Wstępne wyniki badania w PolsceOWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce
OWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce
SecuRing
 
Napędza nas czysta energia
Napędza nas czysta energiaNapędza nas czysta energia
Napędza nas czysta energia
Nequit
 
PHP5. Profesjonalne tworzenie oprogramowania
PHP5. Profesjonalne tworzenie oprogramowaniaPHP5. Profesjonalne tworzenie oprogramowania
PHP5. Profesjonalne tworzenie oprogramowania
Wydawnictwo Helion
 
Średnie Kroczące i Oscylatory
Średnie Kroczące i OscylatoryŚrednie Kroczące i Oscylatory
Średnie Kroczące i Oscylatory
Strefa Forex
 
16
1616
16
Szymon Konkol - Publikacje Cyfrowe
 
Podstawy komunikacji
Podstawy komunikacjiPodstawy komunikacji
Podstawy komunikacji
Krzysztof Skubis
 
8. Stosowanie narzędzi marketingu w działalności podmiotu gospodarczego
8. Stosowanie narzędzi marketingu w działalności podmiotu gospodarczego8. Stosowanie narzędzi marketingu w działalności podmiotu gospodarczego
8. Stosowanie narzędzi marketingu w działalności podmiotu gospodarczego
Lukas Pobocha
 

Empfohlen

Jakość utracona v13
Jakość utracona v13Jakość utracona v13
Jakość utracona v13
magda3695
 
OWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce
OWASP CISO Survey 2014 - Wstępne wyniki badania w PolsceOWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce
OWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce
SecuRing
 
Napędza nas czysta energia
Napędza nas czysta energiaNapędza nas czysta energia
Napędza nas czysta energia
Nequit
 
PHP5. Profesjonalne tworzenie oprogramowania
PHP5. Profesjonalne tworzenie oprogramowaniaPHP5. Profesjonalne tworzenie oprogramowania
PHP5. Profesjonalne tworzenie oprogramowania
Wydawnictwo Helion
 
Średnie Kroczące i Oscylatory
Średnie Kroczące i OscylatoryŚrednie Kroczące i Oscylatory
Średnie Kroczące i Oscylatory
Strefa Forex
 
16
1616
16
Szymon Konkol - Publikacje Cyfrowe
 
Podstawy komunikacji
Podstawy komunikacjiPodstawy komunikacji
Podstawy komunikacji
Krzysztof Skubis
 
8. Stosowanie narzędzi marketingu w działalności podmiotu gospodarczego
8. Stosowanie narzędzi marketingu w działalności podmiotu gospodarczego8. Stosowanie narzędzi marketingu w działalności podmiotu gospodarczego
8. Stosowanie narzędzi marketingu w działalności podmiotu gospodarczego
Lukas Pobocha
 
Prezentacja. 11 listopada Święto Niepodległości
Prezentacja. 11 listopada Święto NiepodległościPrezentacja. 11 listopada Święto Niepodległości
Prezentacja. 11 listopada Święto Niepodległości
Surwabuno
 
Kryzys jugosłowiański
Kryzys jugosłowiańskiKryzys jugosłowiański
Kryzys jugosłowiański
Swietłana Pożyczka
 
Czytanie kodu. Punkt widzenia twórców oprogramowania open source
Czytanie kodu. Punkt widzenia twórców oprogramowania open sourceCzytanie kodu. Punkt widzenia twórców oprogramowania open source
Czytanie kodu. Punkt widzenia twórców oprogramowania open source
Wydawnictwo Helion
 
nik-p-12-096-teleinformatyka-policji
nik-p-12-096-teleinformatyka-policjinik-p-12-096-teleinformatyka-policji
nik-p-12-096-teleinformatyka-policji
Adam Zakrzewski
 
Strategia stabilnego wzrostu_na_
Strategia stabilnego wzrostu_na_Strategia stabilnego wzrostu_na_
Strategia stabilnego wzrostu_na_
Grupa PTWP S.A.
 
Scalone dokumenty (13)
Scalone dokumenty (13)Scalone dokumenty (13)
Scalone dokumenty (13)
gemix gemix
 
Język Cg. Programowanie grafiki w czasie rzeczywistym
Język Cg. Programowanie grafiki w czasie rzeczywistymJęzyk Cg. Programowanie grafiki w czasie rzeczywistym
Język Cg. Programowanie grafiki w czasie rzeczywistym
Wydawnictwo Helion
 
Z3.02 u
Z3.02 uZ3.02 u
Z3.02 u
Mateusz Winiarski
 
Internet w komunikacji naukowej.
Internet w komunikacji naukowej.Internet w komunikacji naukowej.
Internet w komunikacji naukowej.
Bartłomiej Juszczyk
 
Rozmówki pomoc gastronomiczna w wielkiej brytanii
Rozmówki pomoc gastronomiczna w wielkiej brytaniiRozmówki pomoc gastronomiczna w wielkiej brytanii
Rozmówki pomoc gastronomiczna w wielkiej brytanii
WKL49
 
Nowoczesna Firma
Nowoczesna FirmaNowoczesna Firma
Nowoczesna Firma
Adam
 
Czynniki wpływające na wybór celu
Czynniki wpływające na wybór celuCzynniki wpływające na wybór celu
Czynniki wpływające na wybór celu
Sieć Obywatelska Watchdog Polska
 
Knowledge Management 2.0 - Zarządzanie wiedzą 2.0
Knowledge Management 2.0 - Zarządzanie wiedzą 2.0Knowledge Management 2.0 - Zarządzanie wiedzą 2.0
Knowledge Management 2.0 - Zarządzanie wiedzą 2.0
Digital-Knowledge
 
Udręczeni przez demony. Opowieści o szatańskim zniewoleniu - ebook
Udręczeni przez demony. Opowieści o szatańskim zniewoleniu - ebookUdręczeni przez demony. Opowieści o szatańskim zniewoleniu - ebook
Udręczeni przez demony. Opowieści o szatańskim zniewoleniu - ebook
e-booksweb.pl
 
Strach ma wielkie oczy, a lęk ma wiele twarzy_ prezentacja B.Ś.
Strach ma wielkie oczy, a lęk ma wiele twarzy_ prezentacja B.Ś.Strach ma wielkie oczy, a lęk ma wiele twarzy_ prezentacja B.Ś.
Strach ma wielkie oczy, a lęk ma wiele twarzy_ prezentacja B.Ś.
Beata Śliwińska
 
Sztuka wyznaczania-i-osiagania-celow pdf
Sztuka wyznaczania-i-osiagania-celow pdfSztuka wyznaczania-i-osiagania-celow pdf
Sztuka wyznaczania-i-osiagania-celow pdf
mazur16111
 
Continuous security
Continuous securityContinuous security
Continuous security
kraqa
 
Analiza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnych Analiza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnych
guest84f9115
 
Analiza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnychAnaliza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnych
guest84f9115
 
OWASP ASVS 3.1 EA PL - YetiForce
OWASP ASVS 3.1 EA PL - YetiForceOWASP ASVS 3.1 EA PL - YetiForce
OWASP ASVS 3.1 EA PL - YetiForce
Pabiszczak Błażej
 
IBM Security AppScan Introduction - Horyzont bezpieczeństwa aplikacji webowych
IBM Security AppScan Introduction - Horyzont bezpieczeństwa aplikacji webowychIBM Security AppScan Introduction - Horyzont bezpieczeństwa aplikacji webowych
IBM Security AppScan Introduction - Horyzont bezpieczeństwa aplikacji webowych
Szymon Dowgwillowicz-Nowicki
 
Kluczowe problemy z bezpieczeństwem aplikacji
Kluczowe problemy z bezpieczeństwem aplikacjiKluczowe problemy z bezpieczeństwem aplikacji
Kluczowe problemy z bezpieczeństwem aplikacji
Breachcomber by Hostersi
 

Weitere ähnliche Inhalte

Andere mochten auch

Czytanie kodu. Punkt widzenia twórców oprogramowania open source
Czytanie kodu. Punkt widzenia twórców oprogramowania open sourceCzytanie kodu. Punkt widzenia twórców oprogramowania open source
Czytanie kodu. Punkt widzenia twórców oprogramowania open source
Wydawnictwo Helion
 
nik-p-12-096-teleinformatyka-policji
nik-p-12-096-teleinformatyka-policjinik-p-12-096-teleinformatyka-policji
nik-p-12-096-teleinformatyka-policji
Adam Zakrzewski
 
Scalone dokumenty (13)
Scalone dokumenty (13)Scalone dokumenty (13)
Scalone dokumenty (13)
gemix gemix
 
Język Cg. Programowanie grafiki w czasie rzeczywistym
Język Cg. Programowanie grafiki w czasie rzeczywistymJęzyk Cg. Programowanie grafiki w czasie rzeczywistym
Język Cg. Programowanie grafiki w czasie rzeczywistym
Wydawnictwo Helion
 
Rozmówki pomoc gastronomiczna w wielkiej brytanii
Rozmówki pomoc gastronomiczna w wielkiej brytaniiRozmówki pomoc gastronomiczna w wielkiej brytanii
Rozmówki pomoc gastronomiczna w wielkiej brytanii
WKL49
 
Udręczeni przez demony. Opowieści o szatańskim zniewoleniu - ebook
Udręczeni przez demony. Opowieści o szatańskim zniewoleniu - ebookUdręczeni przez demony. Opowieści o szatańskim zniewoleniu - ebook
Udręczeni przez demony. Opowieści o szatańskim zniewoleniu - ebook
e-booksweb.pl
 

Andere mochten auch (16)

Prezentacja. 11 listopada Święto Niepodległości
Prezentacja. 11 listopada Święto NiepodległościPrezentacja. 11 listopada Święto Niepodległości
Prezentacja. 11 listopada Święto Niepodległości
 
Kryzys jugosłowiański
Kryzys jugosłowiańskiKryzys jugosłowiański
Kryzys jugosłowiański
 
Czytanie kodu. Punkt widzenia twórców oprogramowania open source
Czytanie kodu. Punkt widzenia twórców oprogramowania open sourceCzytanie kodu. Punkt widzenia twórców oprogramowania open source
Czytanie kodu. Punkt widzenia twórców oprogramowania open source
 
nik-p-12-096-teleinformatyka-policji
nik-p-12-096-teleinformatyka-policjinik-p-12-096-teleinformatyka-policji
nik-p-12-096-teleinformatyka-policji
 
Strategia stabilnego wzrostu_na_
Strategia stabilnego wzrostu_na_Strategia stabilnego wzrostu_na_
Strategia stabilnego wzrostu_na_
 
Scalone dokumenty (13)
Scalone dokumenty (13)Scalone dokumenty (13)
Scalone dokumenty (13)
 
Język Cg. Programowanie grafiki w czasie rzeczywistym
Język Cg. Programowanie grafiki w czasie rzeczywistymJęzyk Cg. Programowanie grafiki w czasie rzeczywistym
Język Cg. Programowanie grafiki w czasie rzeczywistym
 
Z3.02 u
Z3.02 uZ3.02 u
Z3.02 u
 
Internet w komunikacji naukowej.
Internet w komunikacji naukowej.Internet w komunikacji naukowej.
Internet w komunikacji naukowej.
 
Rozmówki pomoc gastronomiczna w wielkiej brytanii
Rozmówki pomoc gastronomiczna w wielkiej brytaniiRozmówki pomoc gastronomiczna w wielkiej brytanii
Rozmówki pomoc gastronomiczna w wielkiej brytanii
 
Nowoczesna Firma
Nowoczesna FirmaNowoczesna Firma
Nowoczesna Firma
 
Czynniki wpływające na wybór celu
Czynniki wpływające na wybór celuCzynniki wpływające na wybór celu
Czynniki wpływające na wybór celu
 
Knowledge Management 2.0 - Zarządzanie wiedzą 2.0
Knowledge Management 2.0 - Zarządzanie wiedzą 2.0Knowledge Management 2.0 - Zarządzanie wiedzą 2.0
Knowledge Management 2.0 - Zarządzanie wiedzą 2.0
 
Udręczeni przez demony. Opowieści o szatańskim zniewoleniu - ebook
Udręczeni przez demony. Opowieści o szatańskim zniewoleniu - ebookUdręczeni przez demony. Opowieści o szatańskim zniewoleniu - ebook
Udręczeni przez demony. Opowieści o szatańskim zniewoleniu - ebook
 
Strach ma wielkie oczy, a lęk ma wiele twarzy_ prezentacja B.Ś.
Strach ma wielkie oczy, a lęk ma wiele twarzy_ prezentacja B.Ś.Strach ma wielkie oczy, a lęk ma wiele twarzy_ prezentacja B.Ś.
Strach ma wielkie oczy, a lęk ma wiele twarzy_ prezentacja B.Ś.
 
Sztuka wyznaczania-i-osiagania-celow pdf
Sztuka wyznaczania-i-osiagania-celow pdfSztuka wyznaczania-i-osiagania-celow pdf
Sztuka wyznaczania-i-osiagania-celow pdf
 

Ähnlich wie Raport z badania - Praktyki wytwarzania bezpiecznego oprogramowania

Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzykaZagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
SecuRing
 

Ähnlich wie Raport z badania - Praktyki wytwarzania bezpiecznego oprogramowania (20)

Continuous security
Continuous securityContinuous security
Continuous security
 
Analiza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnych Analiza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnych
 
Analiza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnychAnaliza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnych
 
OWASP ASVS 3.1 EA PL - YetiForce
OWASP ASVS 3.1 EA PL - YetiForceOWASP ASVS 3.1 EA PL - YetiForce
OWASP ASVS 3.1 EA PL - YetiForce
 
IBM Security AppScan Introduction - Horyzont bezpieczeństwa aplikacji webowych
IBM Security AppScan Introduction - Horyzont bezpieczeństwa aplikacji webowychIBM Security AppScan Introduction - Horyzont bezpieczeństwa aplikacji webowych
IBM Security AppScan Introduction - Horyzont bezpieczeństwa aplikacji webowych
 
Kluczowe problemy z bezpieczeństwem aplikacji
Kluczowe problemy z bezpieczeństwem aplikacjiKluczowe problemy z bezpieczeństwem aplikacji
Kluczowe problemy z bezpieczeństwem aplikacji
 
2012 Premium Technology usługi bezpieczeństwa teleinformatycznego
2012 Premium Technology usługi bezpieczeństwa teleinformatycznego2012 Premium Technology usługi bezpieczeństwa teleinformatycznego
2012 Premium Technology usługi bezpieczeństwa teleinformatycznego
 
Warsztaty eksperckie analiza sieci społecznych
Warsztaty eksperckie analiza sieci społecznychWarsztaty eksperckie analiza sieci społecznych
Warsztaty eksperckie analiza sieci społecznych
 
Światowe badanie bezpieczeństwa informacji 2014
Światowe badanie bezpieczeństwa informacji 2014Światowe badanie bezpieczeństwa informacji 2014
Światowe badanie bezpieczeństwa informacji 2014
 
Zarządzanie bezpieczeństwem informacji w firmie
Zarządzanie bezpieczeństwem informacji w firmieZarządzanie bezpieczeństwem informacji w firmie
Zarządzanie bezpieczeństwem informacji w firmie
 
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzykaZagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
 
Podstawy testowania oprogramowania INCO 2023.pptx
Podstawy testowania oprogramowania INCO 2023.pptxPodstawy testowania oprogramowania INCO 2023.pptx
Podstawy testowania oprogramowania INCO 2023.pptx
 
8 kroków do optymalnej inwestycji IT
8 kroków do optymalnej inwestycji IT8 kroków do optymalnej inwestycji IT
8 kroków do optymalnej inwestycji IT
 
8 kroków do optymalnej inwestycji
8 kroków do optymalnej inwestycji8 kroków do optymalnej inwestycji
8 kroków do optymalnej inwestycji
 
[Warsaw 25.04.2018] - ASVS - Błażej Pabiszczak, YetiForce
[Warsaw 25.04.2018] - ASVS - Błażej Pabiszczak, YetiForce[Warsaw 25.04.2018] - ASVS - Błażej Pabiszczak, YetiForce
[Warsaw 25.04.2018] - ASVS - Błażej Pabiszczak, YetiForce
 
Inżynieria społeczna jako element testów bezpieczeństwa - tylko teoria, czy j...
Inżynieria społeczna jako element testów bezpieczeństwa - tylko teoria, czy j...Inżynieria społeczna jako element testów bezpieczeństwa - tylko teoria, czy j...
Inżynieria społeczna jako element testów bezpieczeństwa - tylko teoria, czy j...
 
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
 
Audyty informatyczne
Audyty informatyczneAudyty informatyczne
Audyty informatyczne
 
Testy to za mało – czyli słów kilka o jakości w oprogramowaniu: czym jest, ja...
Testy to za mało – czyli słów kilka o jakości w oprogramowaniu: czym jest, ja...Testy to za mało – czyli słów kilka o jakości w oprogramowaniu: czym jest, ja...
Testy to za mało – czyli słów kilka o jakości w oprogramowaniu: czym jest, ja...
 
Agile & Scrum podstawy
Agile & Scrum podstawyAgile & Scrum podstawy
Agile & Scrum podstawy
 

Mehr von SecuRing

Developer in a digital crosshair, 2023 edition - 4Developers
Developer in a digital crosshair, 2023 edition - 4DevelopersDeveloper in a digital crosshair, 2023 edition - 4Developers
Developer in a digital crosshair, 2023 edition - 4Developers
SecuRing
 
Is persistency on serverless even possible?!
Is persistency on serverless even possible?!Is persistency on serverless even possible?!
Is persistency on serverless even possible?!
SecuRing
 
What happens on your Mac, stays on Apple’s iCloud?!
What happens on your Mac, stays on Apple’s iCloud?!What happens on your Mac, stays on Apple’s iCloud?!
What happens on your Mac, stays on Apple’s iCloud?!
SecuRing
 
0-Day Up Your Sleeve - Attacking macOS Environments
0-Day Up Your Sleeve - Attacking macOS Environments0-Day Up Your Sleeve - Attacking macOS Environments
0-Day Up Your Sleeve - Attacking macOS Environments
SecuRing
 
20+ Ways to Bypass Your macOS Privacy Mechanisms
20+ Ways to Bypass Your macOS Privacy Mechanisms20+ Ways to Bypass Your macOS Privacy Mechanisms
20+ Ways to Bypass Your macOS Privacy Mechanisms
SecuRing
 
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standards
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standardsWebApps vs Blockchain dApps (SmartContracts): tools, vulns and standards
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standards
SecuRing
 
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standards
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standardsWebApps vs Blockchain dApps (SmartContracts): tools, vulns and standards
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standards
SecuRing
 
Attacking AWS: the full cyber kill chain
Attacking AWS: the full cyber kill chainAttacking AWS: the full cyber kill chain
Attacking AWS: the full cyber kill chain
SecuRing
 
Web Apps vs Blockchain dApps (Smart Contracts): tools, vulns and standards
Web Apps vs Blockchain dApps (Smart Contracts): tools, vulns and standardsWeb Apps vs Blockchain dApps (Smart Contracts): tools, vulns and standards
Web Apps vs Blockchain dApps (Smart Contracts): tools, vulns and standards
SecuRing
 
We need t go deeper - Testing inception apps.
We need t go deeper - Testing inception apps.We need t go deeper - Testing inception apps.
We need t go deeper - Testing inception apps.
SecuRing
 

Mehr von SecuRing (20)

Developer in a digital crosshair, 2023 edition - 4Developers
Developer in a digital crosshair, 2023 edition - 4DevelopersDeveloper in a digital crosshair, 2023 edition - 4Developers
Developer in a digital crosshair, 2023 edition - 4Developers
 
Developer in a digital crosshair, 2022 edition - Oh My H@ck!
Developer in a digital crosshair, 2022 edition - Oh My H@ck!Developer in a digital crosshair, 2022 edition - Oh My H@ck!
Developer in a digital crosshair, 2022 edition - Oh My H@ck!
 
Developer in a digital crosshair, 2022 edition - No cON Name
Developer in a digital crosshair, 2022 edition - No cON NameDeveloper in a digital crosshair, 2022 edition - No cON Name
Developer in a digital crosshair, 2022 edition - No cON Name
 
Is persistency on serverless even possible?!
Is persistency on serverless even possible?!Is persistency on serverless even possible?!
Is persistency on serverless even possible?!
 
What happens on your Mac, stays on Apple’s iCloud?!
What happens on your Mac, stays on Apple’s iCloud?!What happens on your Mac, stays on Apple’s iCloud?!
What happens on your Mac, stays on Apple’s iCloud?!
 
0-Day Up Your Sleeve - Attacking macOS Environments
0-Day Up Your Sleeve - Attacking macOS Environments0-Day Up Your Sleeve - Attacking macOS Environments
0-Day Up Your Sleeve - Attacking macOS Environments
 
Developer in a digital crosshair, 2022 edition
Developer in a digital crosshair, 2022 editionDeveloper in a digital crosshair, 2022 edition
Developer in a digital crosshair, 2022 edition
 
20+ Ways To Bypass Your Macos Privacy Mechanisms
20+ Ways To Bypass Your Macos Privacy Mechanisms20+ Ways To Bypass Your Macos Privacy Mechanisms
20+ Ways To Bypass Your Macos Privacy Mechanisms
 
How secure are webinar platforms?
How secure are webinar platforms?How secure are webinar platforms?
How secure are webinar platforms?
 
20+ Ways to Bypass Your macOS Privacy Mechanisms
20+ Ways to Bypass Your macOS Privacy Mechanisms20+ Ways to Bypass Your macOS Privacy Mechanisms
20+ Ways to Bypass Your macOS Privacy Mechanisms
 
Serverless security: attack & defense
Serverless security: attack & defense Serverless security: attack & defense
Serverless security: attack & defense
 
Abusing & Securing XPC in macOS apps
Abusing & Securing XPC in macOS appsAbusing & Securing XPC in macOS apps
Abusing & Securing XPC in macOS apps
 
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standards
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standardsWebApps vs Blockchain dApps (SmartContracts): tools, vulns and standards
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standards
 
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standards
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standardsWebApps vs Blockchain dApps (SmartContracts): tools, vulns and standards
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standards
 
Let's get evil - threat modeling at scale
Let's get evil - threat modeling at scaleLet's get evil - threat modeling at scale
Let's get evil - threat modeling at scale
 
Attacking AWS: the full cyber kill chain
Attacking AWS: the full cyber kill chainAttacking AWS: the full cyber kill chain
Attacking AWS: the full cyber kill chain
 
Web Apps vs Blockchain dApps (Smart Contracts): tools, vulns and standards
Web Apps vs Blockchain dApps (Smart Contracts): tools, vulns and standardsWeb Apps vs Blockchain dApps (Smart Contracts): tools, vulns and standards
Web Apps vs Blockchain dApps (Smart Contracts): tools, vulns and standards
 
Budowanie i hakowanie nowoczesnych aplikacji iOS
Budowanie i hakowanie nowoczesnych aplikacji iOSBudowanie i hakowanie nowoczesnych aplikacji iOS
Budowanie i hakowanie nowoczesnych aplikacji iOS
 
We need t go deeper - Testing inception apps.
We need t go deeper - Testing inception apps.We need t go deeper - Testing inception apps.
We need t go deeper - Testing inception apps.
 
Building & Hacking Modern iOS Apps
Building & Hacking Modern iOS AppsBuilding & Hacking Modern iOS Apps
Building & Hacking Modern iOS Apps
 

Raport z badania - Praktyki wytwarzania bezpiecznego oprogramowania

  • 1. SecuRing Badanie praktyki wytwarzania bezpiecznego oprogramowania Raport Na wstępie pragniemy serdecznie podziękować ponad 50 specjalistom z  firm zajmujących się wytwarzaniem oprogramowania, którzy zechcieli poświęcić swój czas i wziąć udział w naszym badaniu.
  • 2. SecuRingBadanie“praktykiwytwarzaniabezpiecznegooprogramowania” 2 Celem badania było sprawdzenie, jakie praktyki w  zakresie wytwarzania bezpiecznegooprogramowaniasąstosowanew polskichfirmach.Badaniepolegało na przeprowadzeniu ankiety wśród specjalistów uczestniczących w  konferencji 4Developers 2014. Kluczowe wnioski wynikające z opracowania wyników ankiet. Najczęściej stosowane praktyki:• śledzenienabieżącoi reagowanienabłędywykrywanew stosowanych»» komponentach, frameworkach i bibliotekach, testy bezpieczeństwa i implementacja poprawek wynikających z tych»» testów, przeglądy kluczowych części kodu w zakresie bezpieczeństwa.»» Praktyki te stosowane są w ponad połowie badanych firm. Szkolenia z  zakresu bezpiecznego programowania (nawet na poziomie• podstawowym) w dalszym ciągu nie są powszechnie stosowane, mimo iż jest to skuteczny i łatwy do wprowadzenia środek prewencyjny. W znacznej części projektów bezpieczeństwo jest na pewnym poziomie• uwzględniane, ale wymagania w tym zakresie nie są spisywane, tak więc również nie mogą być w sposób uporządkowany weryfikowane podczas wytwarzania i wdrażania. W  większości projektów• (73%) są wprowadzane poprawki wynikające z testów bezpieczeństwa i nie znalazł się ani jeden przypadek, w którym po wykonaniu testów bezpieczeństwa nie trzeba byłoby takich poprawek wprowadzać. Testy bezpieczeństwa często są wykonywane• jedynie przez odbiorcę oprogramowania. Mniejniżpołowaz osób,któremiałydoczynieniaz testamibezpieczeństwa,• uznało, że dostarczony przez wykonawcę testów bezpieczeństwa raport był zrozumiały. Tak więc istnieje widoczna konieczność poprawy jakości usług testowania bezpieczeństwa. Streszczenie
  • 3. SecuRingBadanie“praktykiwytwarzaniabezpiecznegooprogramowania” 3 Badanie przeprowadziliśmy podczas konferencji 4Developers 6 kwietnia 2014.Danezbieranebyłyzapomocąformularzyankietowychwypełnianych przez uczestników konferencji. Metodyka Pytania zostały skonstruowane na podstawie standardu OWASP OpenSAMM “Security Assurance Maturity Model”1 w zakresie pierwszej fazy wdrożenia zasad dobrej praktyki dla firm produkujących oprogramowanie. Uczestnicy badania W badaniu wzięło udział 52 pracowników z 42 firm. Większość ankietowanych to programiści (56%) lub starsi programiści (17%). 17% osób pracowało na stanowiskach managerskich. Większość z odpowiadających na pytania stwierdziło, że z tematami dotyczącymi bezpieczeństwa aplikacji ma do czynienia na co dzień (31%) lub czasami (48%). Natomiast zdaniem 73% biorących udział w badaniu projekty, w których uczestniczą, mogą być obiektem ataków. 56% 17% 17% 6% 4% programista starszy programista stanowisko managerskie tester analityk/architekt 1 http://www.opensamm.org/
  • 4. SecuRingBadanie“praktykiwytwarzaniabezpiecznegooprogramowania” 4 Badane praktyki W ankiecie pytaliśmy o następujące praktyki, mające na celu wytwarzanie bezpiecznego oprogramowania: Zarządzanie Prewencja Analiza i Projektowanie Wytwarzanie i wdrażanie Wdrożenie uporządkowanego planu zapewnienia bezpieczeństwa• wytwarzanego lub zamawianego oprogramowania. Wyznaczenie osoby odpowiedzialnej za bezpieczeństwo aplikacji.• Szkolenia z zakresu bezpieczeństwa oprogramowania.• Śledzenie i reagowanie na błędy wykrywane w stosowanych• komponentach, frameworkach i bibliotekach. Analiza najbardziej prawdopodobnych zagrożeń i dobranie• odpowiednich dla nich zabezpieczeń (modelowanie zagrożeń). Opisywanie w specyfikacji wymagań dotyczących• bezpieczeństwa – w tym wymagań niefunkcjonalnych. Formułowanie wymagań dotyczących bezpieczeństwa na• podstawie analizy ryzyka lub zasad dobrej praktyki i zgodności z obowiązującymi przepisami. Przeglądy kluczowych części kodu w zakresie bezpieczeństwa.• Testy bezpieczeństwa przed wdrożeniem, zgodnie z przyjętymi• wymaganiami. Implementacja poprawek wynikających z testów• bezpieczeństwa. Stosowanie narzędzi automatycznych, wyszukujących defekty• bezpieczeństwa. Obszar Praktyki
  • 5. SecuRingBadanie“praktykiwytwarzaniabezpiecznegooprogramowania” 5 WynikiBadania Najczęściej stosowane praktyki Najczęściej stosowane dobre praktyki według wypełniających naszą ankietę to: śledzenie na bieżąco i  reagowanie na błędy wykrywane w  stosowanych• komponentach, frameworkach i  bibliotekach (77% odpowiedzi). Wynik ten jest zgodny z rezultatami innych badań, np. monitoringu repozytoriów komponentów (szczegóły poniżej w rozdziale „Prewencja” ), testy bezpieczeństwa i  implementacja poprawek wynikających z  tych• testów (73%). Należy jednak zauważyć, że znaczna część tych testów to prawdopodobnie testy wykonywane przez odbiorcę oprogramowania (szczegóły w rozdziale „Wytwarzanie i wdrażanie” ), przeglądy kluczowych części kodu w zakresie bezpieczeństwa (65%).• 38% 38% 38% 77% 44% 48% 31% 73% 65% 42% 46% Zarządzanie Prew encja Analiza i projektow anie W ytw arzanie iw drazanie
  • 6. SecuRingBadanie“praktykiwytwarzaniabezpiecznegooprogramowania” 6 Zarządzanie W ankiecie pytaliśmy czy w firmach, w ramach kluczowych projektów, jest stosowany wystandaryzowany program zapewnienia bezpieczeństwa wytwarzanego oprogramowania oraz czy jest wyznaczona osoba odpowiedzialna za bezpieczeństwo aplikacji. W  obydwu przypadkach ilość odpowiedzi twierdzących była taka sama – około 38%. Zastanawiająca jest jednak korelacja między tymi odpowiedziami. Tylko co czwarty ankietowany, który twierdził, że w firmie istnieje spójny program zapewnienia bezpieczeństwa, odpowiedział twierdząco na pytanie dotyczące osoby odpowiedzialnej za bezpieczeństwo aplikacji. Wyznaczenie takiej osoby jest kluczowym elementem każdego programu zapewnienia jakości. Prewencja Pytaliśmy o  dwie praktyki prewencyjne – o  szkolenia oraz monitorowanie błędów ujawnianych w  stosowanych komponentach. Większość (77%) odpowiadających stwierdziła, że śledzą błędy wykrywane we frameworkach i bibliotekach oraz reagują na te informacje. Uzyskane dane w pewnym stopniu pokrywają się z  niezależnymi badaniami Sonatype i  Aspect Security2 , z  których wynikło, że w 26% przypadków stosowane są „dziurawe” wersje bibliotek i frameworków. Na pytanie czy architekci, programiści i  testerzy przeszli podstawowe przeszkolenie z  zakresu bezpiecznego programowania 38% badanych odpowiedziało twierdząco. To niewiele, jeśli weźmiemy pod uwagę, że jest to podstawowy, bardzo skuteczny i  łatwy do wprowadzenia środek zmierzający do podniesienia jakości oprogramowania w zakresie bezpieczeństwa. 38% 38% 38% 77% Wdrożenie uporządkowanego planu zapewnienia bezpieczeństwa wytwarzanego lub zamawianego oprogramowania. Wyznaczenie osoby odpowiedzialnej za bezpieczeństwo aplikacji. Szkolenia z zakresu bezpieczeństwa oprogramowania. Śledzenie i reagowanie na błędy wykrywane w stosowanych komponentach, frameworkach i bibliotekach. 2 The Unfortunate Reality of Insecure Libraries: https://www.aspectsecurity.com/uploads/ downloads/2012/03/Aspect-Security-The-Unfortunate-Reality-of-Insecure-Libraries.pdf
  • 7. SecuRingBadanie“praktykiwytwarzaniabezpiecznegooprogramowania” 7 Wytwarzanie i wdrażanie Tylko 42% badanych potwierdziło, że przed wdrożeniem wykonują lub zamawiają testy bezpieczeństwa, natomiast aż 73% pytanych potwierdziło, że implementowali poprawki wynikające z  testów bezpieczeństwa. Prawdopodobnie ta różnica wynika z tego, że często testy bezpieczeństwa wykonuje jedynie odbiorca oprogramowania. Warto przy tym zauważyć, że tylko 43% z osób, które miały do czynienia z testami bezpieczeństwa uznało, że „dostarczony przez wykonawcę testów bezpieczeństwa raport był zrozumiały i  nie wzbudzał kontrowersji”. Wśród ankietowanych nie znalazł się ani jeden przypadek, w  którym testy bezpieczeństwa były wykonywane, ale nie skutkowało to wprowadzeniem koniecznych poprawek. Około połowa ankietowanych firm (46%) stosuje narzędzia automatycznie wyszukujące defekty bezpieczeństwa. Natomiast aż 65% pytanych stwierdziło, że w ich firmach są stosowane przeglądy kluczowych części kodu w zakresie bezpieczeństwa. Analiza i projektowanie 44% odpowiadających na pytania potwierdziło, że w ich firmach stosuje się modelowanie zagrożeń, tzn. są analizowane najbardziej prawdopodobne zagrożenia dotyczące ataków na aplikacje. Podobna liczba osób (48%) stwierdziła również, że wymagania dotyczące bezpieczeństwa są formułowane na podstawie analizy ryzyka lub zasad dobrej praktyki i  zgodności z  obowiązującymi przepisami. Natomiast tylko 31% ankietowanych potwierdziło, że wymagania dotyczące bezpieczeństwa są opisane w  specyfikacji. Można z  tego wyciągnąć wniosek, że w  znacznej części projektów bezpieczeństwo jest uwzględniane, ale wymagania w tym zakresie nie są spisywane, co powoduje, że nie mogą być w sposób uporządkowany weryfikowane podczas wytwarzania i wdrażania. 44% 31% 48% 73% 65% 42% 46% Analiza najbardziej prawdopodobnych zagrożeń i dobranie odpowiednich dla nich zabezpieczeń (modelowanie zagrożeń). Przeglądy kluczowych części kodu w zakresie bezpieczeństwa. Opisywanie w specyfikacji wymagań dotyczących bezpieczeństwa – w tym wymagań niefunkcjonalnych. Formułowanie wymagań dotyczących bezpieczeństwa na podstawie analizy ryzyka lub zasad dobrej praktyki i zgodności z obowiązującymi przepisami. Testy bezpieczeństwa przed wdrożeniem, zgodnie z przyjętymi wymaganiami. Implementacja poprawek wynikających z testów bezpieczeństwa. Stosowanie narzędzi automatycznych, wyszukujących defekty bezpieczeństwa.
  • 8. SecuRingBadanie“praktykiwytwarzaniabezpiecznegooprogramowania” 8 SecuRing to zespół ekspertów zajmujących się bezpieczeństwem aplikacji i  systemów informatycznych. Naszą misją jest zapewnienie wsparcia dla naszych partnerów na każdym etapie procesu, jakim jest zarządzanie bezpieczeństwem aplikacji.OSecuRing Oferujemy między innymi: testy bezpieczeństwa aplikacji webowych, mobilnych, WebService,• grubego klienta, embeded systems, SaaS i innych, analizę ryzyka, modelowanie zagrożeń – przed przystąpieniem• do implementacji, wsparcie w definiowaniu założeń dotyczących bezpieczeństwa,• ocenę projektu systemu pod względem bezpieczeństwa,• pomoc we wpisaniu bezpieczeństwa w  cały cykl rozwoju i  utrzymania• systemów. Nasza firma działa od 2003 roku i  w  tym okresie z  naszych usług skorzystały  czołowe banki, instytucje ubezpieczeniowe, operatorzy telekomunikacyjni, firmy tworzące oprogramowanie, a  także instytucje administracji centralnej zarówno w  Polsce jak i  za granicą. Staramy się dostarczać usług o wysokiej jakości, opartych na wiedzy naszych pracowników i doświadczeniu firmy. Przejrzyj nasze prezentacje i raporty: http://www.slideshare.net/wojdwo. Nasza strona www: http://www.securing.pl Koszt usuwania defektów bezpieczeństwa wykrytych przez odbiorcę aplikacji  jest wielokrotnie wyższy, niż koszt wykrycia i  usunięcia potencjalnego  defektu po stronie firmy wykonującej aplikację. Nasz zespół zdobywał swoje doświadczenie pracując przez wiele lat przy testach bezpieczeństwa dla klientów końcowych. Jeśli chcesz mieć pewność, że aplikacje i systemy dostarczane przez Twoją firmę są właściwie zabezpieczone i pragniesz, by klienci Twojej firmy postrzegali ją jako partnera, do którego produktów można mieć zaufanie – skorzystaj z  naszych usług. Jeśli chcesz uzyskać więcej informacji, skontaktuj się z nami pod telefonem +48 12 4252575 lub email-em info@securing.pl. www.securing.pl info@securing.pl +48 12 4252575