tg-me.com/sec_devops/20
Last Update:
Про стандарты безопасной разработки ФСТЭК
01.11.19 прошло совещание во ФСТЭК касательно обсуждения безопасной разработки
Выделен отдельный программный комитет ПК4 по безопасной разработке в составе ТК362.
Обсуждался проект стандарта "Руководство по безопасной разработке". Стандарт предлагает рекомендации по внедрению требований и процессам ГОСТ 56939.
Пока готова не вся линейка стандартов. Поэтому, чтобы соответствовать требованиям по безопасной разработке, требуется соблюдать описанный процесс, а белые пятна заполнять по своему усмотрению.
Планируемые стандарты :
1. Руководство по безопасной разработке
2. Руководство по оценке безопасности разработки по
3. Руководство по статическому анализу
4. Руководство по динамическому анализу
5. Доверенный компилятор
6. Пересмотр ГОСТ 56939
Доверенный компилятор - рабочее название. Стандарт будет описывать рекомендации по настройке существующих компиляторов, а не выбор или создание какого-то отдельного компилятора.
Система непрерывной интеграции (CI) хоть и не упомянается в ГОСТ 56939, но является его хребтом.
Статический анализ и фаззинг должны быть подключены к CI конвееру
При сертификации лаборатория проверяет соответствие требованиям уровня доверия. Тоесть не полное соответствие ГОСТ
Все материалы с совещания:
https://vk.com/secdevops?w=wall-190263496_16
#law #dev
BY Security Wine (бывший - DevSecOps Wine)
Share with your friend now:
tg-me.com/sec_devops/20