Am 29. November 2024 teilten MISA-Vertreter im von BIDV Insurance – BIC organisierten Workshop „Erfahren Sie mehr über DevSecOps – Technologie- und Sicherheitskontrolllösungen“ praktische Erfahrungen beim Aufbau einer SecDevOps-Kultur zur Verbesserung der Informationssicherheit für Organisationen.
An dem Workshop nahmen führende Experten auf dem Gebiet der Informationstechnologie und Informationssicherheit teil. Seitens MISA nahmen Herr Nguyen Quang Hoang – Direktor für Informationssicherheit und Herr Bui Duc Truong – Leiter der Abteilung Informationssicherheit teil.
Im Rahmen des Workshops stellte Herr Bui Duc Truong, Leiter der Informationssicherheitsabteilung von MISA, das SecDevOps-Modell vor und teilte so Erfahrungen bei der Anwendung von SecDevOps auf Produkte, um Organisationen dabei zu unterstützen, das Bewusstsein für Informationssicherheit und -schutz zu schärfen.
Laut dem Common Vulnerabilities and Exposures (CVE) Allocation Catalogue von Paloalto Network von November 2022 bis Januar 2023 treten Schwachstellen in Anwendungen häufig aufgrund unsicherer Programmierung auf. Daher müssen Unternehmen Sicherheit in den gesamten Softwareproduktentwicklungsprozess integrieren. Konkret geht es darum, das SecDevOps-Modell auf Software anzuwenden, um den Produktentwicklungsprozess zu beschleunigen und so 40–50 % der Schwachstellen im Quellcode zu reduzieren, so James Rutt – CIO Insight.
SecDevOps ist ein Entwicklungsmodell, das Sicherheit, Entwicklung und Betrieb kombiniert, ähnlich wie DevSecOps. Der entscheidende Unterschied besteht jedoch darin, dass bei SecDevOps die Sicherheit im Vordergrund steht, sowohl bei jedem Einzelnen als auch bei jedem Schritt des Softwareentwicklungsprozesses. Darüber hinaus fördert dieses Modell den Arbeitsprozess und die Kultur des „One Team“ und trägt dazu bei, dass die einzelnen Mitarbeiter eng zusammenarbeiten, um sicherzustellen, dass die Sicherheit durchgehend höchste Priorität hat.
Um das SecDevOps-Modell effektiv anzuwenden, müssen Organisationen drei Faktoren genau berücksichtigen: Menschen, Prozesse und Technologie. Was den Personalbereich betrifft, müssen Unternehmen die Qualifikation ihrer Informationssicherheitsteams verbessern, Sicherheitsteams mit DevOps-Teams aufeinander abstimmen und Programmierschulungen sowie eine sichere Bereitstellung anbieten. In Bezug auf den Prozess können Organisationen das Secure – Software Development Life Cycle (SSDLC)-Modell anwenden, um sichere Software zu entwickeln. In Bezug auf die Technologie können Organisationen die folgenden Sicherheitsmethoden und -tools verwenden, um Sicherheitslücken zu erkennen und zu beheben: Statische Analyse (SAST); Dynamische Analyse (DAST); Interaktive Analyse (IAST); Software Composition Analysis (SCA).
Laut Herrn Truong müssen Programmierer im Hinblick auf Sicherheitsbewusstsein und sicheres Programmieren geschult werden, um zu verhindern, dass in späteren Schritten des Softwareentwicklungsprozesses Schwachstellen auftreten.
Als führendes Technologieunternehmen, das in Vietnam Software as a Service anbietet und Initiator der CYSEEX Alliance ist, hat sich MISA dazu verpflichtet, Organisationen bei der Einführung fortschrittlicher Sicherheitslösungen zu unterstützen und Daten und Informationssysteme vor Cyberangriffen zu schützen.
[Anzeige_2]
Quelle: https://www.misa.vn/149771/secdevops-model-application-information-security-solution-for-organizations/
Kommentar (0)