Maintain the software code developed/used by the organisation. a) Sustain a development process which includes methodical security assessments of the code. b) Be especially aware of code with particular security significance e.g. code for i) access control, ii) traffic encryption, iii) logging, iv) parsing user input, v) buffer overflow etc. c) When using open-source code and commercial tool kits, the organisation should regularly check for new versions (ideally automatically). d) Security checks of the organisation’s own code should also be automated where appropriate when using DevOps/DevSecOps. Particularly security-relevant code (cf. previous item) should be quality-assured.
Kehitystyötä koskevat yleiset pelisäännöt on laadittu ja ne on hyväksytty kehitystyön johtohenkilöiden toimesta. Sääntöjen toteutumista valvotaan kaikessa organisaatiossa tehtävässä kehityksessä ja ne katselmoidaan vähintään vuosittain.
Turvallisen kehittämisen politiikka voi sisältää mm. seuraavia asioita:
Turvallisen kehittämisen sääntöjen noudattamista voidaan vaatia myös avainkumppaneilta.
Organisaation on määritettävä keinot turvalliseen ohjelmiston käyttöönottostrategiaan. Keinot on automatisoitava, jos mahdollista.
Organisaation täytyy pitää huolta, että lisensoidut ohjelmistot päivitetään 14 päivän kuluessa päivityksen julkaisusta ja silloin, kun:
Organisaatioiden olisi säännöllisesti tarkistettava käytettyjen avoimien lähdekoodien uudet versiot. Ihannetapauksessa tämä prosessi on automatisoitu. Avoimen lähdekoodin uudet versiot voivat usein sisältää uusia turvatoimintoja, tietoturvakorjauksia jne.
Määrittelyä turvallisuuden kannalta kriittisestä koodista eri palvelujen suhteen pidetään yllä. Uusia kriittisen koodin osasia pyritään jatkuvasti tunnistamaan ja uudet päivitykset tarkistetaan erityisen tarkasti kriittistä koodia koskevien muutosten suhteen. Tavoitteena on pitää turvallisuusheikkouksien todennäköisyys mahdollisimman pienenä.
Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.
