如何将安全和隐私遵从性需求转换为可由团队执行的实际步骤? 这并不容易, 特别是在想要快速行动的敏捷环境中,也就是说在遵守策略之间存在差距, 而实际执行这些任务只是冰山一角. 冰山的其余部分是这样的:
- 政策、法规和标准的设计是高层次和抽象的. 没有简单的步骤可以满足他们.
- 策略到执行(P2E)平台仅限于软件开发生命周期(SDLC)的技术步骤。.
- 监管机构继续发布SDLC以外的新标准.
- 组织可能将安全视为一种颠覆性因素.
例如,第4节.2 . PCI-SSLC 要求“及时修复新发现的漏洞”. 防止重新引入类似的或先前解决的漏洞."
该指令等同于“使用动态应用程序安全测试(DAST)等技术执行安全测试”。, 静态应用程序安全测试(SAST)和交互式应用程序安全测试(IAST),但没有任何迹象表明如何做到这一点. 即使是最具安全意识的开发人员也不知道从哪里开始. 我们提出的框架 杂志 article 解决我们在这里看到的需要遵守规定和缺乏可执行的任务之间的差距.
有效地将这一政策转化为可操作的任务需要进行研究. 我们从对现有工作流程和安全测试控制的文献回顾开始. 我们寻求以下内容:
- 差距的识别
- 差距分析
- 可操作步骤的定义
接下来,我们采访了主题专家(sme). 这些是我们想要回答的问题:
- 执行这些任务的现有方法是什么?
- 一个任务应该多久执行一次?
- 在你的团队中有哪些相关的角色和职责?
我们使用这些答案和标准来创建一个列表:
- 确定执行任务的进程,而不是从头到尾简单地使用SDLC.
- 确定每个任务的所有者.
- 通过与DevOps工具集成实现自动化.
通过设计进行安全开发是前进的方向, 随着技术的发展, 为了满足开发安全和兼容的应用程序的需要,出现了新的控制和标准. 满足这些控制, 然而, 如果没有一种一致的方法将政策转化为程序,而不会撞到冰山上,这不是直截了当的吗.
读读Mina Miri, Amir Pourafshar, Pooya Mehregan, Nathanael Mohammed最近的作品 杂志 文章:
"在敏捷环境中弥合策略和执行之间的差距," ISACA杂志, 2019年第4卷.
