Безопасность
Требования к разработке и публикации проектов, использующих Ensi.
При разработке учитываются требования регламентов ФСТЭК России, национального стандарта ГОСТ Р 56 939−2016, международных стандартов серии ISO/IEC 27 000, материалов OWASP, а также рекомендации NIST.
Основные требования
При разработке проектов с применением Ensi мы рекомендуем придерживаться требований SDLC (Secure Software Development Lifecycle). Ниже приведены некоторые этапы разработки и требования к ним:
- ПроектированиеНа этом этапе проводится анализ требований продукта и определение наиболее надежного и безопасного способа их реализации.
- Сторонние сервисы и компонентыПри использовании программного обеспечения сторонних производителей, мы тщательно его проверяем, а также проводим анализ поверхности атак и разрабатываем модель угроз.
- Стандарт безопасного программированияСтандарт учитывается в программе обучения сотрудников и является обязательным для технических специалистов, участвующих в процессе.
- Анализ кодаАнализ безопасности кода, выполненный экспертами по безопасности, и ревью кода позволяют устранять ошибки на самых ранних этапах разработки ПО.
- Сканирование на наличие уязвимостейРегулярное автоматизированное сканирование на уязвимости позволяет выявить и устранить уязвимости до выпуска продукта. На данном этапе также рекомендуется выполнить фаззинг тестирование, чтобы проверить, что программа корректно отвечает, как на ожидаемые, так и на случайные входные значения.
- Выпуск и поддержка продуктаВыпуск продукта на рынок осуществляется только после успешного проведения финальной проверки безопасности (FSR — Final Security Review), выполненной командой разработки и экспертами по безопасности.
Role-based access control (RBAC)
При разработке, внедрении и интеграциях сервисов e-commerce платформы Ensi используется Управление доступом на основе ролей (RBAC), что позволяет гибко разграничивать доступ к разработке и публикации проектов.