Ciclo de vida del desarrollo de seguridad de Microsoft

Proceso de desarrollo de software para mejorar la seguridad

El ciclo de vida de desarrollo de seguridad (SDL) de Microsoft es el enfoque que utiliza Microsoft para integrar la seguridad en los procesos de DevOps (a veces denominado enfoque DevSecOps). Puede utilizar esta guía y documentación de SDL para adaptar este enfoque y estas prácticas a su organización.  

Las prácticas descritas en el enfoque SDL se pueden aplicar a todo tipo de desarrollo de software y a todas las plataformas, desde el enfoque en cascada clásico hasta los enfoques DevOps modernos, y se pueden aplicar de manera general en:  

• Software : ya sea que esté desarrollando código de software para firmware, aplicaciones de IA, sistemas operativos, controladores, dispositivos IoT, aplicaciones para dispositivos móviles, servicios web, complementos o applets, microcódigo de hardware, aplicaciones de poco código o sin código u otros formatos de software. Tenga en cuenta que la mayoría de las prácticas del SDL también son aplicables al desarrollo seguro de hardware informático. 
• Plataformas : ya sea que el software se ejecute en un enfoque de plataforma "sin servidor", en un servidor local, un dispositivo móvil, una máquina virtual alojada en la nube, un punto final de usuario, como parte de una aplicación de software como servicio (SaaS), un dispositivo de borde en la nube, un dispositivo de IoT o en cualquier otro lugar. 

El SDL recomienda 10 prácticas de seguridad para incorporar en sus flujos de trabajo de desarrollo. La aplicación de las 10 prácticas de seguridad del SDL es un proceso continuo de mejora, por lo que una recomendación clave es comenzar desde algún punto y seguir mejorando a medida que avanza. Este proceso continuo implica cambios en la cultura, la estrategia, los procesos y los controles técnicos a medida que incorpora habilidades y prácticas de seguridad en los flujos de trabajo de DevOps.

Las 10 prácticas de SDL son:

1. Establecer estándares de seguridad, métricas y gobernanza.
2. Exigir el uso de funciones, lenguajes y marcos de seguridad probados
3. Realizar la revisión del diseño de seguridad y el modelado de amenazas.
4. Definir y utilizar estándares de criptografía
5. Proteja la cadena de suministro de software
6. Proteger el entorno de ingeniería
7. Realizar pruebas de seguridad
8. Garantizar la seguridad de la plataforma operativa
9. Implementar monitoreo y respuesta de seguridad
10. Proporcionar capacitación en seguridad

Versiones

Véase también

• Base informática confiable

Lectura adicional

1. Establecer cultura, estrategia y procesos - Seguridad de la innovación (CAF Secure)
2. Definir prácticas y controles de seguridad: controles de DevSecOps
3. Evalúe sus cargas de trabajo actuales con la evaluación de seguridad bien diseñada: Well Architected Review

Enlaces externos

• Sitio web oficial