Les logiciels créés chez New Relic pour notre plateforme New Relic généralement disponible passent par ces cinq phases.
Phase de développement du logiciel | Contrôle de sécurité |
|---|---|
Exigences | L'évaluation des risques |
Conception | modélisation des menaces |
Développement | Normes et pratiques de codage sécurisé |
Vérification | revue de code, revue de sécurité, analyse statique du code, analyse de composition, hacher calculé, code signé |
hargneux | Hacker One et New Relic ont coordonné le programme de divulgation, les analyses régulières et les tests de pénétration par des tiers |
Exigences
Chaque équipe de projet de notre plateforme New Relic, disponible au grand public, se voit attribuer un ingénieur en sécurité chargé d'examiner et de conseiller sur la sécurité des produits New Relic. Lors de la phase d'élaboration des exigences, les ingénieurs en sécurité effectuent une évaluation des risques et ajoutent ensuite des exigences de sécurité pour le projet. Des experts en confidentialité et en conformité sont ajoutés aux équipes de projet selon les besoins.
Conception
Durant la phase de conception, les ingénieurs en sécurité de New Relic collaborent avec les parties prenantes, les responsables de l'ingénierie et les architectes pour obtenir une compréhension partagée détaillée de la fonctionnalité. Les ingénieurs en sécurité de New Relic contribuent au processus de conception avec les parties prenantes en créant un modèle de menace documentant tous les critères d'acceptation, fonctionnalités ou exigences pour implémenter en toute sécurité la fonctionnalité. À l’aide du modèle de menace, les ingénieurs en sécurité ajoutent des spécifications détaillées pour les contrôles requis au projet.
Construire
Chaque ingénieur produit reçoit une formation au codage sécurisé qui comprend des sujets tels que le top 10 de l'OWASP, l'assainissement des entrées et l'utilisation des frameworks et des processus sécurisés déjà en place chez New Relic. Dans la phase de construction, l'équipe d'ingénierie implémente les fonctionnalités de sécurité appropriées dans le projet en suivant les normes de codage sécurisé de New Relic.
Vérification
Une fois la fonctionnalité terminée, chaque demande de tirage doit être revue par un autre ingénieur ayant un accès en écriture au référentiel de code. En plus des logiciels d'analyse de code qui vérifient automatiquement les vulnérabilités par rapport aux politiques de sécurité, les ingénieurs en sécurité vérifient que les mesures de protection et les contrôles recommandés dans les phases de conception, d'exigences et d'évaluation ont été mis en œuvre lorsque cela était nécessaire.
New Relic effectue une analyse statique du code et de la composition pour rechercher les vulnérabilités dans le code et les dépendances.
hargneux
New Relic est en train d'inclure Hacher et Signatures. Toute personne téléchargeant des fichiers publiés par New Relic pourra confirmer que son fichier téléchargé n'a pas été falsifié et est identique à celui publié par New Relic.
le code déployé est suivi par les parties prenantes et l'ingénieur produit afin de poursuivre le processus de développement itératif. L'équipe de sécurité continue d'évaluer la sécurité du code déployé en effectuant des analyses de sécurité régulières, des tests de pénétration par des tiers et via le processus de divulgation coordonné.