Stosunkowo niedawno światło dzienne ujrzała ciekawa inicjatywa: Building Security In Maturity Model. Można było o niej przeczytać na przykład na blogu poświęconemu SDL (przy okazji też można poczytać o SDL Optimization Model).
The Building Security In Maturity Model
Wielokrotnie powtarzałem, że jestem fanem Security Development Lifecycle. Cieszą mnie również listy typu OWASP TOP10 czy 2009 CWE/SANS Top 25 Most Dangerous Programming Errors, ponieważ pojęcie dobrych praktyk staje się coraz bardziej wymierne, coraz mniej miejsca pozostaje na burzliwe dyskusje z developerami lub dostawcami odnośnie tego jak aplikacja powinna wyglądać pod względem bezpieczeństwa. Być może jeśli inicjatywa BSIMM rozwinie się, będzie w przyszłości możliwe w miarę wiarygodne ocenianie i porównywanie oferentów pod względem stosowanego przez nich procesu tworzenia oprogramowania. Może w wymaganiach będzie można zawrzeć coś w stylu: wymagany BSIMM Level 2 lub wyższy?
I wcale nie boję się, że stracę pracę/zlecenia, bo oprogramowanie będzie tak bezpieczne, że nie trzeba go będzie testować. Testy bezpieczeństwa i testy penetracyjne, zarówno wewnętrzne, jak i zewnętrzne, są integralną częścią procesu tworzenia oprogramowania: SSDL Touchpoints: Security Testing (ST) oraz Deployment: Penetration Testing (PT).
