Protezione dalla perdita di dati negli artefatti del software

5

La protezione dalla perdita di dati è una delle maggiori preoccupazioni per ogni settore. Il processo di ingegneria del software coinvolge più punti per la potenziale perdita di dati, in quanto un numero di parti è coinvolto oltre al team di sviluppo del software e del cliente. L'elenco può includere agenzie di test esterne, altri fornitori di software, agenzie di consulenza ecc. Dal documento di analisi dei requisiti al codice sorgente e oltre, tutti gli artefatti del software contengono informazioni che il cliente può considerare sensibili.

Ci sono stati notevoli sforzi per proteggere i dati generati dalle applicazioni usando l'anonimato k, L-diversity. Un breve riepilogo è qui

Ma quali sono le opzioni / le migliori pratiche / strumenti disponibili per proteggere le informazioni sensibili contenute negli artefatti del software (ad esempio documenti di analisi, codice sorgente, documentazione, ecc.) in un formato non strutturato? (Ovviamente tranne NDA e buona fede ...)

    
posta Tathagata 20.01.2011 - 23:56
fonte

1 risposta

3

Recentemente ho scritto sul blog come gestisco il codice sorgente dei miei clienti . In sostanza: controllo della versione per il controllo, crittografia per, bene, crittografia. Gli artefatti compilati sono archiviati negli stessi file system crittografati e, se devono passare su altri dispositivi, vengono crittografati lì dove sono disponibili e cancellati non appena non sono in uso.

Una storia simile è vera per i documenti: lavoro su modelli di minacce per alcuni client, e sono gestiti più o meno allo stesso modo descritto sopra.

Immagino che quello che sto dicendo sia che non c'è nulla di intrinseco agli strumenti di ingegneria del software per fermare la perdita di dati, anche se ovviamente una buona installazione SCM può limitare e rintracciare chi accede a dati riservati, ma una volta che è stato estratto sei da solo. Alcuni software DLP possono essere configurati per trattare i file del codice sorgente come riservati, il che potrebbe valerne la pena. Ma se stai lavorando con consulenti o subappaltatori, allora hai un contratto con loro e qualsiasi livello di rilevamento / applicazione è reciprocamente accettabile secondo i termini del contratto.

    
risposta data 21.01.2011 - 00:46
fonte

Leggi altre domande sui tag