Концепция SDLC

• Анализ требований.
• Планирование.
• Проектирование и дизайн.
• Разработка ПО.
• Тестирование.
• Развёртывание.
OWASP SAMM structure

Управление Дизайн Реализация Проверка Операции

Стратегия и показатели Оценка угрозы Безопасная сборка Оценка архитектуры Управление происшествиями

Тестирование на основе Управление окружающей

Политика и соответствие Требования безопасности Безопасное развертывание
требований средой

Образование и руководство Архитектура безопасности Управление дефектами Тестирование безопасности Оперативное руководство
Model | Governance | Strategy & Metrics
Stream A Stream B
Maturity level Create and Promote Measure and Improve
1 Identify objectives and Identify organization drivers Define metrics with insight
means of measuring as they relate to the into the effectiveness and
effectiveness of the security organization’s risk efficiency of the Application
program. tolerance. Security Program.

2 Establish a unified strategic Publish a unified strategy Set targets and KPI’s for
roadmap for software for application security. measuring the program
security within the effectiveness.
organization.

3 Align security efforts with Align the application Influence the strategy
the relevant organizational security program to support based on the metrics and
indicators and asset values. the organization’s growth. organizational needs.
Threat Matrix for CI/CD

Матрица угроз ATT&CK для CI/CD

Моделирование угроз по методике
Microsoft

STRIDE

Threat Modeling Tool

Стоимость устранения дефектов ПО
Наиболее частые WEB-уязвимости
Тестирование на
проникновение
Модули Metasploit
OWASP TOP 10