Skip Ribbon Commands
Skip to main content
Thứ năm, ngày 08/12/2022

AN TOÀN THÔNG TIN

Làm thế nào để duy trì bảo mật trong quá trình phát triển

27/06/2022 22:06 CH Xem cỡ chữ
(Mic.gov.vn) - 

 Đối với hầu hết doanh nghiêp hay cá nhân liên quan đến vòng đời phát triển phần mềm, khối lượng công việc và trách nhiệm tuyệt đối liên quan đến việc phát triển phần mềm là rất lớn. Tuy nhiên, sự gia tăng gần đây trong các cuộc tấn công an ninh mạng và vi phạm dữ liệu có nghĩa là các nhà quản lý dự án hiện đại phải chú ý nhiều đến bảo mật thông tin, như cách họ làm đối với thiết kế phần mềm.


 Số lượng vi phạm dữ liệu đã tăng 600% kể từ năm 2005 và đang trên đà phá vỡ mọi kỷ lục vào năm 2019. Đó là lý do tại sao các nhà quản lý tốt nhất nên tập trung nhiều vào việc bảo mật thông tin trong mỗi bước của chu kỳ phát triển phần mềm, dựa vào các chuyên gia bảo mật nội bộ và các đối tác gia công phần mềm để cùng nhau tìm ra điểm yếu của họ.

Vòng đời phát triển phần mềm là một tập hợp các bước cần thiết để đưa một phần mềm từ giai đoạn lập kế hoạch và hình thành khái niệm ban đầu đến khi phát hành ra thị trường. Quá trình này bao gồm các giai đoạn lập kế hoạch và thiết kế, phát triển, thử nghiệm và triển khai. Và quá trình này có thể được nhìn thấy dưới một hình thức nào đó trong mọi phương pháp phát triển phần mềm được sử dụng ngày nay, bao gồm phương pháp Waterfall rất được yêu thích và phương pháp Agile cực kỳ linh hoạt. Các nhà quản lý nên hiểu chi tiết về chu trình và nên có kiến ​​thức làm việc về bốn phương pháp phát triển phần mềm quan trọng nhất được sử dụng hiện nay: Agile, Lean, Waterfall và V-shaped.

Ngoài ra, rủi ro ngày càng tăng do tin tặc, điều đó có nghĩa là các nhà quản lý dự án phải tích hợp bảo mật phần mềm vào từng bước của quy trình. Một chu trình phát triển phần mềm an toàn có thể được đảm bảo từ các giai đoạn lập kế hoạch ban đầu cho đến các giai đoạn thực hiện tiếp theo của quy trình. Phương pháp phổ biến nhất được sử dụng hiện nay là Vòng đời phát triển bảo mật máy tính đáng tin cậy của Microsoft (Trustworthy Computing Security Development Lifecycle), được thiết kế cho phần mềm phải chịu được các cuộc tấn công bảo mật tinh vi và bảo vệ dữ liệu người dùng bí mật.

Công việc ban đầu về bảo mật phần mềm được chính phủ Hoa Kỳ tiên phong, họ quan tâm đến việc bảo vệ các phần mềm khu vực công và tư nhân khỏi bị xâm nhập bởi chính phủ nước ngoài và tin tặc với ý đồ xấu. Phương pháp phát triển phần mềm tin cậy đầu tiên (Trusted Software Development Methodology), được tạo bởi Sáng kiến ​​phòng thủ chiến lược (Strategic Defense Initiative), là một trong những ví dụ sớm nhất về phương pháp phần mềm tập trung vào bảo mật. Phần này sẽ khám phá ba mô hình bảo mật được sử dụng phổ biến nhất hiện nay.

Được phát triển đầu tiên bởi Sáng kiến Phòng thủ Chiến lược của ​Chính phủ Hoa Kỳ​, Phương pháp Phát triển Phần mềm đáng tin cậy (hiện được gọi là Phương pháp Phần mềm đáng tin cậy) sử dụng các mức độ tin cậy khác nhau để xác định mức độ bảo mật nào sẽ được sử dụng. Được sử dụng thường xuyên nhất để truyền dữ liệu nhạy cảm, Mô hình năng lực trưởng thành tin cậy (Trusted Capability Maturity Model) được cập nhật được sử dụng bởi chính phủ liên bang Hoa Kỳ và các ngân hàng trên toàn thế giới. Nó đòi hỏi một giai đoạn thử nghiệm và đánh giá dài hơn đáng kể để đảm bảo sự thành công.

Mô hình năng lực trưởng thành bảo mật kỹ thuật hệ thống (SSE-CCM) là một phương pháp quy trình giúp các tổ chức đánh giá các nỗ lực bảo mật thông tin hiện tại của họ và đưa ra các cải tiến về cách bảo mật dữ liệu nhạy cảm. Bằng cách sử dụng một bộ tiêu chuẩn của các nguyên tắc kỹ thuật bảo mật, phương pháp này giúp các doanh nghiệp nhanh chóng đo lường các quy trình của họ so với tiêu chuẩn ngành. Khung này cung cấp các chi tiết cụ thể rất cần thiết cho các nhà quản lý và 22 khu vực quy trình giúp các nhà phát triển dễ dàng tích hợp bảo mật vào mọi khía cạnh của chu trình phát triển phần mềm.

20211228-pg43.jpg

Khung bảo mật phần mềm của Microsoft được coi là tiêu chuẩn vàng trong ngành CNTT và đã được nhiều công ty trong nhiều ngành công nghiệp áp dụng. Quá trình này tích hợp các mối quan tâm bảo mật vào từng bước của chu trình phát triển phần mềm, và xác định rõ các yêu cầu tính năng bảo mật cho các nhóm kỹ thuật mà không có kinh nghiệm với phía bảo mật của quy trình phát triển. Các công cụ như mô hình mối đe dọa, xem xét mã phân tích tĩnh và kiểm tra tập trung vào bảo mật giúp đảm bảo rằng phần mềm đã sẵn sàng để chống lại các mối đe dọa tiên tiến nhất.

Khung bảo mật phần mềm của Microsoft được coi là tiêu chuẩn vàng trong ngành CNTT và đã được nhiều công ty trong nhiều ngành công nghiệp áp dụng. Quá trình này tích hợp các mối quan tâm bảo mật vào từng bước của chu trình phát triển phần mềm, và xác định rõ các yêu cầu tính năng bảo mật cho các nhóm kỹ thuật mà không có kinh nghiệm với phía bảo mật của quy trình phát triển. Các công cụ như mô hình mối đe dọa, xem xét mã phân tích tĩnh và kiểm tra tập trung vào bảo mật giúp đảm bảo rằng phần mềm đã sẵn sàng để chống lại các mối đe dọa tiên tiến nhất.

Khung bảo mật phần mềm của Microsoft được coi là tiêu chuẩn vàng trong ngành CNTT và đã được nhiều công ty trong nhiều ngành công nghiệp áp dụng. Quá trình này tích hợp các mối quan tâm bảo mật vào từng bước của chu trình phát triển phần mềm, và xác định rõ các yêu cầu tính năng bảo mật cho các nhóm kỹ thuật mà không có kinh nghiệm với phía bảo mật của quy trình phát triển. Các công cụ như mô hình mối đe dọa, xem xét mã phân tích tĩnh và kiểm tra tập trung vào bảo mật giúp đảm bảo rằng phần mềm đã sẵn sàng để chống lại các mối đe dọa tiên tiến nhất.

Bây giờ phần mềm đã được phát triển và phê duyệt bởi các bên liên quan, nó đã sẵn sàng để phát hành cho khách hàng; tuy nhiên, giám sát an ninh và tích hợp phải được tiếp tục duy trì. Giai đoạn hậu triển khai của chu trình phát triển phần mềm liên quan đến việc thu hút phản hồi của người dùng để đảm bảo rằng phần mềm đang hoạt động một cách chính xác và người tiêu dùng không xác định được các lỗi bổ sung. Mạng lưới rộng lớn gồm các nhà nghiên cứu bảo mật tài năng, thực hiện các phân tích bảo mật phần mềm như một dịch vụ công cộng có nghĩa là thông tin hữu ích về các lỗi bảo mật có thể phát sinh tại thời điểm này.

Điều quan trọng là các chuyên gia bảo mật tham gia vào việc thu thập và xem xét phản hồi của người dùng để xác nhận rằng không có lỗ hổng bảo mật lớn nào xuất hiện. Hơn nữa, điều quan trọng là đảm bảo rằng các nhóm nội bộ được thiết lập để thực hiện các công việc trong tương lai. Một kế hoạch ứng phó sự cố nên được vạch ra để giúp các nhà phát triển giải quyết các lỗ hổng mới khi chúng được biết đến. Kế hoạch này đảm bảo tính liên tục của quy trình, bất kể công ty đang sử dụng dịch vụ gia công công nghệ thông tin hay sử dụng nhân sự của công ty.

 

theo ictvietnam.vn

Lượt truy cập: 865

Từ khóa: bảo mật, quá trình phát triển

ĐÁNH GIÁ BÀI VIẾT( 0)