Come e dove iniziare sul Return of Web Application Security Investment?

Naviga le tue risposte
3

Anche se esiste una vasta gamma di vulnerabilità, minacce e contromisure corrispondenti, la quantità di informazioni su Infosec Economics (in particolare per le applicazioni Web) sembra scarsa.

Quali sono le risorse e gli strumenti che dovrei esaminare per rendere misurabile l'implementazione di un processo di sviluppo del software sicuro o persino di modellazione delle minacce? Le risorse esistenti si concentrano molto sulla sicurezza della rete, quindi qualcosa di specifico per le pratiche di sicurezza delle applicazioni come l'elenco seguente è quello che sto cercando:

  1. Modellazione delle minacce
  2. Revisione codice
  3. Test di penetrazione
  4. Sviluppo sicuro
  5. Implementare contromisure
  6. Contromisure costi vs violazione dei costi
posta Epoch Win 19.02.2012 - 22:56
fonte

1 risposta

3

Guarda il Ciclo di vita dello sviluppo di Microsoft Security . Questo è uno degli approcci principali e migliori nella protezione dello sviluppo del software e Microsoft ha generosamente fornito una grande quantità di materiale, risorse e strumenti per supportare il ciclo di vita.

Inoltre, dai un'occhiata al Building Security In Maturity Model (BSIMM). BSIMM non ti dice come dovresti fare uno sviluppo sicuro del software. Invece, fornisce un modo per misurare la maturità dei processi di sviluppo del software su una dozzina di diverse dimensioni. Il bello di BSIMM è che è stato applicato a dozzine di altre società, e i dati sono disponibili su dove valgono le altre aziende, quindi puoi confrontare te stesso con altre aziende nel tuo settore industriale per vedere come stai.

Se desideri materiale specifico per la sicurezza web, potresti iniziare con OWASP . Hanno molte risorse, strumenti e documenti sulla sicurezza web.

Ci sono molte altre risorse là fuori, ma penso che troverai un ottimo inizio.

    
risposta data 20.02.2012 - 02:16
fonte

Leggi altre domande sui tag

Elenco dei principali scenari di rischio / attacco di sicurezza per l'applicazione Android [chiuso] Cos'è una dimostrazione "Crash an application" più semplice per ottenere l'accesso a un sistema?