Quali criteri di valutazione utilizzeresti per selezionare il giusto strumento di scansione Oracle?
Contesto:
Per distribuire uno strumento di scansione automatico (nessus / SQuirreL ecc.) da utilizzare sia dai team di sviluppo che dai team di sicurezza.
Uno strumento da utilizzare da entrambi i team durante la fase di costruzione, gestione in corso (patching, modifiche alla struttura del DB) e attività di assicurazione (come audit interno o revisione della sicurezza).
Un esempio potrebbe essere:
Capacità di limitare il cracking della password. Sebbene ciò possa avere valore per il team di sicurezza, non vorrei che il team di sviluppo fosse in grado di crackare le password.
Quindi, con il rischio di fornire ora la mia risposta (ancora ansiosa di avere più pensieri su questo!). Ho trovato il seguente:
- Lo strumento fornisce rapporti di conformità generati rispetto al proprio standard interno
Questo sarebbe utile per il team di sviluppo per garantire che la costruzione soddisfi il livello richiesto.
- Lo strumento produce report di conformità generati contro standard esterno
Come CIS o NIST, come questo sarebbe per la sicurezza team per confrontare il delta tra la build approvata e le best practice del settore.
- Capacità di condurre una vulnerabilità Scansione
La build fornisce effettivamente una protezione sufficiente? Utilizzando un approccio di scansione / analisi delle vulnerabilità per testare la build per l'esposizione alla sicurezza.
-
Dose su cui lo strumento produce un rapporto patch mancanti?
-
Posso limitare la scansione a specifici beni / gruppi di utenti?
Qualcun altro che sarebbe utile?