Secure Software Development Life Cycle (SSDLC)

Le cycle de de vie du développement d’un application est l’ensemble des étapes de réalisation d’un logiciel dans le but de construire un produit de qualité.

L’intégration de la sécurité dans le SDLC intervient à chaque étape de celui-ci et se matérialise de plusieurs manières (threat modeling, review, SAST, DAST, etc.).

Ci-dessous, une liste non-exhaustive d’actions à mener au sein du SDLC pour délivrer une application sécurisée.

Ma présentation sur SlideShare : Secure Software Development Life Cycle (SSDLC)

Ressources

• Secure Agile Development

  • https://www.owasp.org/images/5/54/Owasp_stuttgart_agile_secure_20150803.pdf
  • https://www.owasp.org/images/3/33/OWASP_Application_Security_Verification_Standard_3.0.1.pdf

• Code reviews

  • https://www.owasp.org/images/5/53/OWASP_Code_Review_Guide_v2.pdf

• SAST/DAST

  • http://www.veracode.com/solutions/by-need/streamlining-compliance
  • https://www.checkmarx.com/2015/04/29/sast-vs-dast-why-sast-3

• Analyse de dépendances

  • https://info.blackducksoftware.com/rs/872-OLS-526/images/OSSAReportFINAL.pdf

• Plan de réponse à incident

  • https://www.owasp.org/images/9/92/Top10ConsiderationsForIncidentResponse.pdf
  • https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/3/html/Security_Guide/s1-response-plan.html

• OpenSAMM

  • https://github.com/OWASP/samm/tree/master/v1.5/Final

• ASVS

  • https://www.owasp.org/images/3/33/OWASP_Application_Security_Verification_Standard_3.0.1.pdf

Voir également

• Les certificats TLS
• Stocker les secrets utilisés par une application
• Gestion des analyses de sécurité avec DefectDojo
• Analyse des dépendances (SCA - Sofware Component Analysis)
• Tests de sécurité automatisés