Metodtips för säker utveckling i Azure
Den här serien med artiklar visar säkerhetsaktiviteter och kontroller att tänka på när du utvecklar program för molnet. Faserna i Microsoft Security Development Lifecycle (SDL) och säkerhetsfrågor och begrepp att tänka på under varje fas av livscykeln omfattas. Målet är att hjälpa dig att definiera aktiviteter och Azure-tjänster som du kan använda i varje fas i livscykeln för att utforma, utveckla och distribuera ett säkrare program.
Rekommendationerna i artiklarna kommer från vår erfarenhet av Azure-säkerhet och från våra kunders erfarenheter. Du kan använda dessa artiklar som en referens för vad du bör tänka på under en specifik fas i ditt utvecklingsprojekt, men vi föreslår att du också läser igenom alla artiklar från början till slut minst en gång. När du läser alla artiklar får du en introduktion till begrepp som du kanske har missat i tidigare faser i projektet. Genom att implementera de här begreppen innan du släpper produkten kan du skapa säker programvara, uppfylla kraven på säkerhetsefterlevnad och minska utvecklingskostnaderna.
Dessa artiklar är avsedda att vara en resurs för programvarudesigners, utvecklare och testare på alla nivåer som skapar och distribuerar säkra Azure-program.
Översikt
Säkerhet är en av de viktigaste aspekterna av alla program, och det är inte en enkel sak att få rätt. Som tur är tillhandahåller Azure många tjänster som kan hjälpa dig att skydda ditt program i molnet. De här artiklarna behandlar aktiviteter och Azure-tjänster som du kan implementera i varje steg i livscykeln för programvaruutveckling för att hjälpa dig att utveckla säkrare kod och distribuera ett säkrare program i molnet.
Säkerhetsutvecklingslivscykel (SDL)
Att följa bästa praxis för säker programvaruutveckling kräver integrering av säkerhet i varje fas i livscykeln för programvaruutveckling, från kravanalys till underhåll, oavsett projektmetodik (vattenfall, agil eller DevOps). I kölvattnet av uppmärksammade dataintrång och utnyttjandet av driftsäkerhetsbrister förstår fler utvecklare att säkerheten måste hanteras under hela utvecklingsprocessen.
Ju senare du löser ett problem i utvecklingslivscykeln, desto mer kostar det dig. Säkerhetsproblem är inget undantag. Om du bortser från säkerhetsproblem i de tidiga faserna av programutvecklingen kan varje fas som följer ärva sårbarheterna i föregående fas. Din slutprodukt ackumulerar flera säkerhetsproblem och risken för intrång. Genom att skapa säkerhet i varje fas i utvecklingslivscykeln kan du fånga upp problem tidigt, och det hjälper dig att minska dina utvecklingskostnader.
Vi följer faserna i Microsoft Security Development Lifecycle (SDL) för att introducera aktiviteter och Azure-tjänster som du kan använda för att uppfylla säkra metoder för programvaruutveckling i varje fas av livscykeln.
SDL-faserna är:
I de här artiklarna grupperar vi SDL-faserna i design, utveckling och distribution.
Kontakta organisationens säkerhetsteam
Din organisation kan ha ett formellt programsäkerhetsprogram som hjälper dig med säkerhetsaktiviteter från början till slut under utvecklingslivscykeln. Om din organisation har säkerhets- och efterlevnadsteam måste du kontakta dem innan du börjar utveckla ditt program. Fråga dem i varje fas i SDL:en om det finns några uppgifter som du har missat.
Vi förstår att många läsare kanske inte har ett säkerhets- eller efterlevnadsteam att engagera sig i. De här artiklarna kan hjälpa dig med säkerhetsfrågor och beslut som du behöver tänka på i varje fas av SDL:et.
Resurser
Använd följande resurser för att lära dig mer om att utveckla säkra program och skydda dina program i Azure:
Microsoft Security Development Lifecycle (SDL) – SDL är en programutvecklingsprocess från Microsoft som hjälper utvecklare att bygga säkrare programvara. Det hjälper dig att uppfylla kraven på säkerhetsefterlevnad och samtidigt minska utvecklingskostnaderna.
Open Worldwide Application Security Project (OWASP) – OWASP är en onlinecommunity som producerar fritt tillgängliga artiklar, metoder, dokumentation, verktyg och tekniker inom webbprogramsäkerhet.
Push-överföring åt vänster, som en chef – en serie onlineartiklar som beskriver olika typer av programsäkerhetsaktiviteter som utvecklare bör slutföra för att skapa säkrare kod.
Microsofts identitetsplattform – Microsofts identitetsplattform är en utveckling av Microsoft Entra-identitetstjänsten och utvecklarplattformen. Det är en komplett plattform som består av en autentiseringstjänst, bibliotek med öppen källkod, programregistrering och konfiguration, fullständig utvecklardokumentation, kodexempel och annat utvecklarinnehåll. Microsofts identitetsplattform stöder branschstandardprotokoll som OAuth 2.0 och OpenID Anslut.
Metodtips och mönster för Azure-säkerhet – En samling metodtips för säkerhet som du kan använda när du utformar, distribuerar och hanterar molnlösningar med hjälp av Azure. Vägledning är avsedd att vara en resurs för IT-proffs. Detta kan omfatta designers, arkitekter, utvecklare och testare som skapar och distribuerar säkra Azure-lösningar.
Säkerhets- och efterlevnadsritningar i Azure – Azure Security and Compliance Blueprints är resurser som kan hjälpa dig att skapa och starta molndrivna program som uppfyller stränga regler och standarder.
Nästa steg
I följande artiklar rekommenderar vi säkerhetskontroller och aktiviteter som kan hjälpa dig att utforma, utveckla och distribuera säkra program.