À Bordeaux, le calendrier des calendriers et la ville israélite à…

Les conseillers ont construit «Sourrembin AI», des drogues ouvertes et…

Parme Warn Inter, AC Milan et la Juventus: «Clubs étrangers» veulent…

Logiciels

Les meilleurs cadres de développement de logiciels sécurisés

Lire aussi :

Les actions de HubSpot chutent de 12 % après…

Un nouveau groupe de ransomware exploite la vulnérabilité du…

Les progrès de la technologie informatique ont incité le développement de cadres qui répondent aux exigences de sécurité et des utilisateurs dans le cycle de vie du développement logiciel.

Cet article examine plusieurs cadres SDLC établis, ainsi que deux cadres qui intègrent spécifiquement des éléments de risque et de sécurité. Avec l’augmentation des menaces de cybersécurité, les entreprises doivent concevoir et mettre à niveau les applications logicielles en gardant à l’esprit la sécurité, tout en offrant aux utilisateurs les niveaux de performance élevés qu’ils attendent.

Étapes du SDLC

En raison de la nature unique du développement logiciel, le processus SDLC est loin d’être simple et, comme le montre l’organigramme ci-dessous, comprend de nombreuses boucles. Ces boucles permettent de s’assurer que les problèmes sont soigneusement contrôlés et vérifiés avant le déploiement du logiciel. Documentez soigneusement chaque étape et les activités de support, car ces documents seront utilisés tout au long des phases de développement, de test, de formation et de déploiement et peuvent être utilisés comme preuves pour les audits.

Les sept étapes du SDLC sont les suivantes :

  1. Une analyse. Au cours de cette étape, le système ou le processus actuel est analysé, les lacunes sont identifiées et les paramètres de fonctionnement et les résultats souhaités sont définis. Des entretiens doivent être menés avec les principaux utilisateurs de la nouvelle application, ainsi qu’avec les cadres supérieurs dont l’approbation est nécessaire. Au cours de cette étape, les développeurs doivent préparer une présentation pour les responsables informatiques et les dirigeants de l’entreprise afin de s’assurer qu’ils soutiennent le projet.

    Remarque : obtenir l’approbation et le financement de la direction avant que poursuivre le processus SDLC.

  2. Plans et exigences. Une fois le projet approuvé, définissez les fonctionnalités et les capacités du nouveau système. Un plan de projet doit être créé à ce stade, et les développeurs doivent indiquer clairement comment les lacunes précédentes seront traitées dans le nouveau système. Si un tableur ou un logiciel de gestion de projet est utilisé, élaborez le plan de projet, y compris les sous-activités à chaque étape majeure.
  3. Concevoir. Commencer à développer la conception du système, y compris des éléments tels que le matériel, les systèmes d’exploitation, les utilitaires spécialisés, les E/S, les outils de développement logiciel, les communications, la sécurité, la programmation, les tests et le déploiement. Les activités supplémentaires comprennent le lancement du projet, les procédures d’exploitation et les documents connexes, les spécifications du système et la planification potentielle de la fin de vie du projet.
  4. Développement. Au cours de cette phase, les programmes sont conçus à l’aide d’équipes logicielles internes, d’équipes externes selon les besoins, d’outils de développement logiciel et d’autres aides. Les problèmes, tels que les tests initiaux, la formation des utilisateurs, le déploiement, les tests d’acceptation et l’approbation de la direction, doivent être définis et documentés.
  5. Essai. Une fois le système initial terminé, il doit subir divers tests pour valider ses performances, sa facilité d’interaction avec l’utilisateur, ses capacités de communication et ses attributs de sécurité. Corrigez tout problème résultant des tests. Des tests doivent également être effectués sur les corrections. Impliquez également les équipes d’assurance qualité dans cette étape.
  6. Déploiement. Plus tôt dans la phase de conception, élaborez un calendrier de déploiement. Selon la complexité, le système peut nécessiter un déploiement progressif, par opposition à un lancement unique. Cela permet aux utilisateurs de se familiariser avec le système dans un environnement « sûr ». Le système existant devra peut-être fonctionner en parallèle avec le nouveau pour faciliter la transition.

    Au cours de cette étape, des programmes de formation et de la documentation doivent être élaborés pour les utilisateurs principaux et suppléants. Il peut être utile de mettre en place une formation avec plusieurs postes connectés aux deux systèmes. Cela permet aux utilisateurs de voir les différences entre l’ancien et le nouveau système.

  7. Maintenance post-déploiement. Une fois que le système entre dans cette phase, il passe en mode maintenance. Surveillez régulièrement les performances du nouveau système. Les mises à jour nécessaires doivent être effectuées au cours de cette étape sans causer de graves interruptions de production. Établissez un calendrier de correctifs, ainsi que des calendriers d’arrêts du système pour la maintenance, les mises à jour du matériel et les activités de cybersécurité et de reprise après sinistre.

L’organigramme suivant montre comment le processus SDLC permet de s’assurer que les problèmes de performances sont résolus avant qu’un système ne soit mis en production.

Organigramme sur le SDLC
Organigramme SDLC

Cadres de développement logiciel

De nombreux cadres de développement de logiciels ont été créés au fil des ans ; ce qui suit est une liste partielle. Chaque approche peut être adaptée pour intégrer les problèmes de sécurité dans le processus de développement :

  • Le Modèle cascadedéveloppé à l’origine en 1970, épouse une progression linéaire et logique des activités, similaire au modèle SDLC original.
  • Développement rapide d’applicationsconçu pour la rapidité, utilise des techniques et des prototypes plus itératifs et adaptatifs pour le développement de logiciels.
  • Développement d’applications en commun engage les utilisateurs de manière plus proactive à la plupart des phases du processus de développement, dans le but d’améliorer leur satisfaction à l’égard du résultat.
  • Le Modèle de fontaine est utilisé pour développer des logiciels orientés objet et utilise des processus de développement itératifs et incrémentaux.
  • Le modèle en spirale est privilégiée pour le développement de grands projets complexes et coûteux. Il intègre la gestion des risques et les processus itératifs dans le cadre.
  • Agilel’un des frameworks les plus populaires utilisés aujourd’hui, se concentre sur le développement de petits morceaux du produit logiciel final plutôt que sur la construction du système entier.
  • Développement logiciel simplifié, une variante d’Agile, se distingue par sa flexibilité et son absence de règles strictes. Il engage activement les utilisateurs à toutes les étapes du processus de développement et rassemble les membres de l’équipe en petits groupes de travail pour une plus grande interaction.
  • Mêléeune autre variante Agile, est généralement utilisée par les chefs de projet pour administrer des activités itératives et incrémentales.

Outils de développement open source

En plus de développer manuellement des systèmes logiciels, les applications open source peuvent aider à faciliter le processus de développement. Voici une liste partielle des frameworks open source pour le développement :

  • Botte de printemps est conçu pour la programmation Java. Il simplifie le processus de codage en fournissant un code pré-écrit facile à utiliser.
  • Django est similaire à Spring Boot en termes de fonctionnalités mais est utilisé pour la programmation en Python.
  • Angulaire utilise une approche de modèle pour la conception d’applications Web.
  • vue est un autre outil de développement d’applications JavaScript.
  • Apache Cordoue facilite le processus de développement en créant plusieurs environnements de déploiement, chacun utilisant une seule base de code.
  • Réagir natif est utilisé pour le développement d’applications mobiles.

Cadres de développement de logiciels sécurisés spécialement conçus

Les cadres et modèles de développement logiciel susmentionnés peuvent être adaptés pour intégrer des dispositions de sécurité, mais ils ne sont pas intrinsèquement conçus pour la sécurité.

Les deux cadres SDLC suivants portent l’approche actuelle de la conception de logiciels à un niveau supérieur en incorporant des éléments de risque et de sécurité.

Cadre BSA pour les logiciels sécurisés

Développé par BSA | The Software Alliance et publié en 2019, le BSA Framework for Secure Software est un outil basé sur les risques et axé sur la sécurité que les développeurs, les fournisseurs et les utilisateurs de logiciels peuvent utiliser pour examiner et analyser les performances des logiciels dans des situations de sécurité spécifiques. Les produits et services logiciels sont au centre du cadre, par opposition aux modèles et cadres traditionnels de type SDLC. Ce qui rend le cadre unique, c’est la façon dont il aide les utilisateurs à s’assurer que la sécurité est prise en compte dans le processus de développement et que le logiciel, tel qu’il est écrit, produit les capacités et les résultats de sécurité souhaités.

L’approche basée sur les risques du cadre aide les utilisateurs et les parties prenantes à identifier les paramètres de sécurité spécifiques requis par leur organisation. Le cadre de BSA est composé d’une matrice détaillée des éléments suivants :

  • Les fonctions sont les activités de plus haut niveau dans le cadre. Ils comprennent les éléments suivants :
    • Développement sécurisé aborde tous les aspects et toutes les phases du processus de développement et de déploiement de logiciels.
    • Capacités sécurisées définir les principales caractéristiques et capacités de sécurité d’un produit logiciel.
    • Cycle de vie sécurisé assure le maintien de la sécurité depuis le développement initial d’un produit jusqu’à sa fin de vie.
  • Catégories définir les principales activités et capacités d’une fonction.
  • Sous-catégories diviser les catégories en domaines supplémentaires de considération.
  • Énoncés de diagnostic fournissent des résultats descriptifs des catégories et des sous-catégories et doivent être intégrés au processus de conception du logiciel.
  • Remarques sur la mise en œuvre fournissent des conseils supplémentaires sur la manière d’atteindre les résultats définis dans les énoncés de diagnostic et peuvent également être intégrés au processus de conception du logiciel.

NIST SP 800-218 (2022), SSDF Version 1.1

Le NIST a introduit son cadre SDLC sécurisé en 2021. Le cadre de développement logiciel sécurisé (SSDF) introduit et recommande des activités spécifiques axées sur la sécurité pour chaque phase du SDLC.

En intégrant les activités recommandées spécifiées dans le cadre dans la phase de cycle de vie appropriée, les développeurs de logiciels peuvent réduire les vulnérabilités de sécurité dans les logiciels nouvellement développés ou mis à jour, réduire l’effet des failles de sécurité et identifier les causes possibles des vulnérabilités afin de mieux préparer et prévenir les futures violations ou attaques. . SSDF comprend un vocabulaire de termes pour faciliter la communication entre les fournisseurs et les utilisateurs.

Un message clé du cadre est l’importance d’introduire les problèmes et les exigences de sécurité le plus tôt possible dans le SDLC. La sécurité ne peut plus être une réflexion après coup. Au contraire, la sécurité devrait être un élément central de tout projet de développement logiciel.

SSDF est une matrice basée sur les éléments suivants :

  • Les pratiques sont des activités qu’il est recommandé d’effectuer pendant le cycle de développement. Les quatre groupes de pratique sont définis comme suit :
    1. Préparer l’organisation Les activités spécifient comment les organisations préparent les employés, les technologies et les processus pertinents pour les activités de développement de logiciels sécurisés.
    2. Protégez le logiciel spécifient comment les organisations protègent les logiciels contre les accès non autorisés et les acteurs malveillants.
    3. Produire des logiciels bien sécurisés définissent comment produire des logiciels sécurisés avec peu ou pas de vulnérabilités.
    4. Répondre aux vulnérabilités garantissent que toutes les vulnérabilités ou risques logiciels restants sont traités et corrigés pour prévenir de futures vulnérabilités.
  • Éléments de pratique sont inclus dans chaque matrice de pratique. Ils sont définis comme suit :
    • Entraine toi spécifie la pratique et inclut un identifiant pour faciliter la référence, ainsi qu’une explication de la pratique et pourquoi elle est nécessaire.
    • Tâches sont les activités réalisées dans un cabinet.
    • Exemples de mise en œuvre théorique sont des types d’outils, de processus et de méthodes qui aident à mettre en œuvre une tâche.
    • Références sont des liens vers des documents de développement logiciel spécifiques qui peuvent être pertinents pour une tâche.

Alors que les modèles SDLC traditionnels peuvent être adaptés pour s’adapter aux pratiques de sécurité, les deux cadres de développement de logiciels sécurisés fournissent des conseils détaillés sur les attributs de sécurité que les organisations doivent prendre en compte lors de la création de produits logiciels sécurisés.

www.actusduweb.com
Suivez Actusduweb sur Google News


vous pourriez aussi aimer Plus d'articles de l'auteur
Plus d'Articles

Les actions de HubSpot chutent de 12 % après qu’Alphabet ait…

Un nouveau groupe de ransomware exploite la vulnérabilité du logiciel…

Comment les équipes de plateformes créent des entreprises meilleures,…

Datadog (NASDAQ:DDOG) : meilleurs résultats du premier trimestre pour…

iOS 18 propose un nouveau fond d’écran dynamique aux couleurs…

8 raisons pour lesquelles les développeurs aiment Go et 8 raisons pour…

1 De 351

Ce site utilise des cookies pour améliorer votre expérience. Nous supposerons que cela vous convient, mais vous pouvez vous désinscrire si vous le souhaitez. J'accepte Lire la suite