Le Secure Software Development Framework (SSDF) est un ensemble de pratiques fondamentales et sécurisées de développement de logiciels. Voici dix choses à savoir sur le SSDF du NIST :
1. Sur quoi est basé le SSDF ?
Le SSDF ne contient pas de nouvelles pratiques pour le cycle de vie du développement logiciel (SDLC), ni n'introduit de nouvelles méthodes ou terminologies. Le SSDF est basé sur des documents de pratiques établis par BSA | The Software Alliance, l'Open Web Application Security Project® (OWASP) et SAFECode (anciennement connu sous le nom de Software Assurance Forum for Excellence in Code).
2. Le SSDF a deux publics principaux
Le SSDF s'adresse principalement à deux publics. Le premier est constitué des éditeurs de logiciels de toutes tailles et de tous niveaux de maturité, y compris les fournisseurs de produits et les développeurs de logiciels. Le deuxième public cible est constitué des consommateurs et des acheteurs de logiciels.
3. Le SSDF utilise
N’importe quel secteur peut tirer parti de ce cadre, notamment l’Internet des objets (IoT), les technologies de l’information (TI) et les systèmes de contrôle industriel. Le cadre peut être utilisé quel que soit le niveau actuel de cybersécurité sans impacter les organisations qui ont déjà mis en place des processus de développement de logiciels. Il peut être intégré à n’importe quel flux de travail de développement et outil d’automatisation existant.
4. Le SSDF sert de guide de référence
Le cadre n'indique pas aux organisations comment appliquer exactement chaque pratique, mais fournit plutôt des orientations. Les organisations peuvent utiliser les pratiques SSDF pertinentes pour compléter et améliorer leurs processus de développement logiciel, leurs ressources et leur modèle de gestion des risques existants.
5. Le SSDF améliore la communication entre les parties prenantes
Le SSDF fournit un langage commun qui aide les parties prenantes de l’organisation à communiquer les processus de développement de logiciels internes et externes, y compris les équipes de développement de logiciels, les professionnels de la cybersécurité, les propriétaires d’entreprise et les dirigeants.
6. Le SSDF aide les organisations à effectuer la transition entre les modèles de développement
Les organisations peuvent se référer à ce cadre pour définir et rationaliser leurs pratiques futures dans le cadre de leurs efforts d'amélioration continue. Il aide également les organisations à effectuer la transition entre les modèles de développement logiciel, par exemple en passant d'un modèle traditionnel à une méthodologie agile.
7. Pourquoi le SSDF est-il important pour le SDLC ?
Les pratiques de développement de logiciels sécurisés permettent d'atténuer le risque de vulnérabilités dans les logiciels publiés, réduisant ainsi l'exploitation et les conséquences. Si des vulnérabilités passent inaperçues et causent des dommages, le cadre peut guider les organisations dans la résolution de la cause profonde des failles de sécurité et dans la prévention des récidives.
8. La maîtrise du développement de logiciels sécurisés n'est pas une exigence pour comprendre le SSDF
Le SSDF a été conçu pour être compris par toutes les parties prenantes impliquées dans les processus internes et externes de développement de logiciels, y compris les fournisseurs de produits, les testeurs de qualité et les organisations de consommateurs.
9. Le SSDF offre une flexibilité de mise en œuvre
Le cadre ne part pas du principe que toutes les organisations partagent les mêmes exigences, objectifs et priorités en matière de sécurité. Les responsables de la mise en œuvre peuvent choisir les pratiques pertinentes ou applicables à leurs besoins de sécurité spécifiques. Bien que la mise en œuvre des pratiques soit flexible, les pratiques elles-mêmes ne sont pas destinées à être personnalisées.
10. Le SSDF ne définit pas la fréquence d'utilisation
Les équipes de développement de logiciels ont des priorités et des risques différents ; par conséquent, le SSDF ne fait pas de recommandations sur la fréquence des pratiques récurrentes. Les tâches et la mise en œuvre des pratiques dépendront des processus organisationnels uniques, de la gestion des risques et d'autres facteurs.
Si vous souhaitez en savoir plus sur ce Framework, contactez des experts spécialisés en cybersécurité .