Ngày 10/02/2022,Cục An toàn thông tin có Công văn số 166/CATTT-ATHTTT về việc ban hành hướng dẫn “Khung phát triển phần mềm an toàn (phiên bản 1.0)
Đính kèm văn bản 166/CATTT-ATHTTT
Thực hiện chức năng quản lý nhà nước về an toàn thông tin của Bộ Thông tin và Truyền thông tại Nghị định số 17/2017/NĐ-CP ngày 17 tháng 02 năm 2017 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Bộ Thông tin và Truyền thông, Bộ Thông tin và Truyền thông ban hành dự thảo “Hướng dẫn Khung phát triển phần mềm an toàn”.
Sau đây là hướng dẫn:
Hướng dẫn
KHUNG PHÁT TRIỂN PHẦN MỀM AN TOÀN PHIÊN BẢN 1.0
(Kèm theo Công văn số /BTTTT-CATTT ngày tháng năm 2021 của Bộ Thông tin và Truyền thông)
1. Giới thiệu
Vòng đời phát triển phần mềm (SDLC - Software Development Life Cycle) là phương pháp luận hay một chuỗi các quy trình để phát triển phần mềm từ thiết kế, xây dựng và duy trì phần mềm. Có một số mô hình SDLC phổ biến gồm mô hình thác nước (waterfall), xoắn ốc (spiral), phát triển phần mềm linh hoạt (agile), đặc biệt mô hình agile kết hợp giữa phát triển phần mềm và triển khai. Rất ít mô hình SDLC đề cập chi tiết đến vấn đề an toàn phần mềm, vì vậy các phương pháp phát triển phần mềm an toàn thường cần được bổ sung và tích hợp vào từng mô hình SDLC. Bất kể mô hình SDLC nào được sử dụng, các phương pháp phát triển phần mềm an toàn cần được tích hợp trong suốt quá trình vì ba lý do: để giảm số lượng điểm yếu (vulnerability) trong phần mềm đã phát hành, để giảm thiểu tác động tiềm ẩn của việc khai thác các điểm yếu chưa được phát hiện hoặc chưa được khắc phục và để giải quyết gốc rễ nguyên nhân của các điểm yếu để ngăn chặn sự xuất hiện lặp lại.
Hầu hết các khía cạnh của an toàn phần mềm có thể được giải quyết nhiều lần trong SDLC, tuy nhiên, vấn đề an toàn được giải quyết càng sớm thì càng cần ít nguồn lực và chi phí để đạt được cùng một mức độ an toàn. Nguyên tắc này, còn được gọi là dịch chuyển sang trái (shifting left), là nguyên tắc quan trọng bất kể mô hình SDLC nào. Dịch chuyển sang trái giúp giảm thiểu bất kỳ tồn tại kỹ thuật chúng đòi hỏi cần khắc phục các lỗi bảo mật sớm trong quá trình phát triển hoặc sau khi phần mềm được đưa vào sản xuất.
Tài liệu này xác định và khuyến nghị các phương pháp phát triển phần mềm an toàn, trọng tâm là kết quả của các hoạt động sẽ được thực hiện hơn là vào các công cụ, kỹ thuật và cơ chế được sử dụng để làm như vậy, hướng đến:
• Có thể được sử dụng bởi các tổ chức trong bất kỳ lĩnh vực hoặc cộng đồng nào, bất kể quy mô hoặc mức độ phức tạp về an toàn thông tin mạng
• Có thể được áp dụng cho phần mềm được phát triển để hỗ trợ công nghệ thông tin (CNTT), hệ thống điều khiển công nghiệp (ICS), hệ thống vật lý mạng (CPS) hoặc Internet of Things (IoT)
• Có thể được tích hợp vào bất kỳ quy trình phát triển phần mềm hiện có nào và chuỗi công cụ tự động; không được ảnh hưởng tiêu cực đến các tổ chức đã áp dụng các hoạt động phát triển phần mềm an toàn.
• Có thể áp dụng rộng rãi, không phân biệt riêng cho các công nghệ, nền tảng, ngôn ngữ lập trình, mô hình SDLC, môi trường phát triển, môi trường hoạt động, công cụ, v.v.
• Có thể giúp một tổ chức lập tài liệu về các thực hành phát triển phần mềm an toàn hiện tại của mình và xác định các mục tiêu thực hành trong tương lai như một phần của quá trình cải tiến liên tục.
• Có thể hỗ trợ một tổ chức hiện đang sử dụng mô hình phát triển phần mềm cổ điển trong việc chuyển đổi các phương pháp phát triển phần mềm an toàn sang sử dụng với mô hình phát triển phần mềm hiện đại (ví dụ: Agile, DevOps).
• Có thể hỗ trợ các tổ chức đang mua sắm và sử dụng phần mềm hiểu được các phương pháp phát triển phần mềm an toàn do các nhà cung cấp của họ sử dụng.
2. Khung phát triển phần mềm an toàn
Tài liệu này xác định phiên bản 1.0 Khung phát triển phần mềm an toàn (SSDF - Security Software Development Framework) được chia thành bốn nhóm:
- Giai đoạn chuẩn bị của tổ chức (PO - Prepare the Organization): Các tổ chức phải đảm bảo nhân sự, quy trình và công nghệ để thực hiện phát triển phần mềm an toàn tại cấp độ tổ chức. Giai đoạn này cũng có thể áp dụng cho quá trình phát triển phần mềm an toàn, như các nhóm phát triển riêng lẻ hoặc các dự án.
- Bảo vệ phần mềm (PS - Protect the Software): Các tổ chức cần bảo vệ tất cả các thành phần của phần mềm phòng chống giả mạo và truy cập trái phép.
- Sản xuất phần mềm đảm bảo an toàn (PW - Produce Well-Security Software): Các tổ chức cần sản xuất phần mềm đảm bảo an toàn với tối thiếu các điểm yếu tồn tại trong các phiên bản phát hành.
- Ứng phó với các lỗ hổng bảo mật (RV – Respond to Vulnerabilities): Các tổ chức phải xác định điểm yếu bảo mật còn tồn tại trong các phiên bản phần mềm phát hành và ứng phó tương ứng để xử lý những điểm yếu này và ngăn ngừa tương tự xảy ra trong tương lai.
Mỗi thực hành xác định bao gồm các thành phần sau đây:
- Thực hành: Tên của thực hành và một định danh riêng, tiếp theo bằng một diễn giải thực hành đó, tại sao và những lợi ích của thực hành đó.
- Nhiệm vụ: Một hoặc nhiều hoạt động cần để hoàn thành một thực hành.
- Ví dụ triển khai: Một hoặc nhiều ví dụ của loại các công cụ, các quy trình và các phương thức có thể được sử dụng để giúp trển khai một nhiệm vụ, không nhằm ngụ ý rằng bất kỳ ví dụ hoặc tổ hợp các ví dụ nào là bắt buộc hoặc chỉ những ví dụ đã nêu là các phương án khả thi.
Những tin mới hơn
Những tin cũ hơn
Hôm nay
Tổng lượt truy cập
