Déplacement de la sécurité des applications vers la gauche

De nombreuses personnes s'accordent à dire que la meilleure façon d'éviter les problèmes de sécurité dans une application est d'intégrer la sécurité dans l'architecture dès le début, au lieu de procéder à des tests en boîte noire une fois le développement terminé. Mais à quoi cela ressemble-t-il réellement dans le cycle de vie du développement d'une application ? Les listes de contrôle telles que le Top 10 de l'OWASP ne disent pas aux architectes comment collaborer au mieux avec les professionnels de l'infosécurité ou comment construire à eux seuls une application sur des bases sûres. Par où un développeur doit-il commencer ? Comment concevoir la sécurité dans des applications basées sur le cadre JavaScript de la semaine prochaine, pour lequel il n'existe pas de "meilleures pratiques" ? Les principes de pratique de la sécurité de l'information, élaborés par le Centre de recherche appliquée en cybersécurité de l'université de l'Indiana, constituent à la fois une base pour la sécurité des applications, indépendante des décisions technologiques spécifiques, et un moyen d'établir un langage commun entre les concepteurs et les défenseurs. Nous travaillerons sur un exemple d'application des principes pour construire un modèle de menace et une conception d'application, et nous verrons à quoi cela ressemble dans un cycle de développement logiciel "agile". Les équipes de sécurité peuvent être un catalyseur pour une bonne conception, et pas seulement une passerelle pour bloquer les erreurs !