Αρχική Διαβουλεύσεις Προδιαγραφών - ΓΓΠΣΤεχνική Διαβούλευση σχετικά με Οριζόντιες Απαιτήσεις Ανάπτυξης Λογισμικού για έργα της ΓΓΠΣΣχόλιο του χρήστη Κωνσταντίνος Παπαπαναγιώτου | 28 Φεβρουαρίου 2011, 13:27
- Αρχική
- Πρωθυπουργός της Ελλάδας
- Ανοικτή Διακυβέρνηση
- Δικτυακός Τόπος Υπουργείου
- Διαβουλεύσεις Υπουργείων
Η ασφάλεια θα πρέπει να ενσωματωθεί σε όλο το φάσμα των διαδικασιών ανάπτυξης λογισμικού. Πολύ περισσότερο όταν πρόκειται για έργα της ΓΓΠΣ τα οποία διαχειρίζονται ευαίσθητα δεδομένα. Για την υλοποίηση του στόχου αυτού μπορούν να χρησιμοποιηθούν ανοικτά πρότυπα και μεθοδολογίες και ειδικότερα: Το OWASP Application Security Verification Standard (ASVS - http://www.owasp.org/index.php/Category:OWASP_Application_Security_Verification_Standard_Project) το οποίο χρησιμοποιείται ευρύτατα κατά την προμήθεια αλλά και εσωτερική ανάπτυξη λογισμικού για τον έλεγχο και την επαλήθευση θεμάτων ασφάλειας σε όλο το φάσμα μιας εφαρμογής. Το ASVS ορίζει συνολικά 4 κλιμακούμενα επίπεδα επαλήθευσης ασφάλειας και περιγράφει αναλυτικές διαδικασίες και απαιτήσεις για την επίτευξή τους. Το OWASP έχει δημοσιεύσει επίσης αναλυτικές μεθοδολογίες για τον έλεγχο (OWASP Testing Guide - http://www.owasp.org/index.php/OWASP_Testing_Project) και την επαλήθευση του κώδικα (OWASP Code Review Guide - http://www.owasp.org/index.php/Category:OWASP_Code_Review_Project) εφαρμογών. Αντίστοιχα, το OWASP OpenSAMM (Security Assurance and Maturity Model) μπορεί να χρησιμοποιθεί για τη μέτριση της ωριμότητας των πρακτικών ανάπτυξης λογισμικού ως προς την ωριμότητά του. Μπορεί να χρησιμοποιηθεί είτε εσωτερικά από τη ΓΓΠΣ είτε από τους προμηθευτές της. Συνεπώς, προτείνεται η εισαγωγή μιας νέας πρότασης που αφορά τον έλεγχο και την επαλήθευση της ασφάλειας των εφαρμογών με χρήση ανοικτών προτύπων και μεθοδολογιών και η ένταξή τους σε κάποιο από τα επίπεδα που περιγράφει το ASVS. Το επίπεδο μπορεί να ορίζεται στις προδιαγραφές του έργου ανάλογα με τις επιμέρους ανάγκες και απαιτήσεις του έργου. Συνολικά θα μπορούσαν να τροποποιηθούν κατάλληλα και να υιοθετηθούν οι προδιαγραφές που περιγράφονται στο OWASP Secure Software Contract Annex (http://www.owasp.org/index.php/OWASP_Secure_Software_Contract_Annex).