Quy trình phát triển phần mềm an toàn

Questions and Answers

Ứng dụng cần được công khai thông qua internet hay sử dụng nội bộ qua intranet?

• Có thể công khai qua intranet
• Không cần công khai hoặc sử dụng nội bộ
• Công khai qua internet (correct)
• Sử dụng nội bộ qua intranet

Ứng dụng có thực hiện các tác vụ nhạy cảm hay quan trọng không?

• Có thể thực hiện tùy thuộc vào người quản lý
• Chưa có quy định cụ thể về tác vụ nhạy cảm
• Có, ứng dụng thực hiện các tác vụ nhạy cảm (correct)
• Không, ứng dụng chỉ thực hiện các tác vụ thông thường

Hệ thống cần đảm bảo tính sẵn sàng ở mức độ nào?

• 90% up time
• 99.999% up time (correct)
• 100% up time
• 95% up time

Hệ thống lưu trữ hoặc truyền dữ liệu cần áp dụng phương pháp nào?

Mã hóa (Encryption) (D)

Hệ thống an ninh cần tránh tin tưởng vào nguồn dữ liệu từ đâu?

Không bao giờ tin tưởng nguồn dữ liệu từ bất kỳ nguồn nào (D)

Hệ thống an ninh cần tránh tin tưởng vào nguồn dữ liệu từ đâu?

Upload từ người dùng (A)

Ứng dụng có thực hiện các tác vụ nhạy cảm hay quan trọng không?

Lưu trữ hoặc truyền dữ liệu (C)

Hệ thống cần đảm bảo tính sẵn sàng ở mức độ nào?

99.999% up time (D)

Hệ thống lưu trữ hoặc truyền dữ liệu cần áp dụng phương pháp nào?

Mã hóa (A)

Ứng dụng cần được công khai thông qua internet hay sử dụng nội bộ qua intranet?

Sử dụng nội bộ qua intranet (B)

Để đảm bảo tính bảo mật, hệ thống cần mã hóa khi lưu trữ hoặc truyền dữ liệu?

False (B)

Hệ thống an ninh cần luôn nghi ngờ nguồn dữ liệu từ người dùng?

False (B)

Ứng dụng cần phải thực hiện tác vụ rủi ro như cho phép người dùng upload các file?

False (B)

Cần 99.999% up time để đảm bảo tính sẵn sàng cho hệ thống?

False (B)

Hệ thống an ninh cần tránh tin tưởng vào nguồn dữ liệu từ nguồn nào?

False (B)

Study Notes

Quy trình phát triển phần mềm an toàn (Secure SDLC - SSDLC)

• Là một quy trình phát triển phần mềm với mục tiêu đảm bảo an toàn và bảo mật
• Bao gồm các giai đoạn:
  • Định nghĩa Quy trình phát triển phần mềm an toàn (Secure SDLC – SSDLC)
  • Đặc tả yêu cầu an toàn (Security Requirement)
  • Thiết kế an toàn (Secure Design)
  • Lập trình An toàn (Secure Code)
  • Khung phát triển phần mềm an toàn (Security Software Development Framework – SSDF)
  • Các lỗi thường gặp (Common Pitfalls)
  • Kiểm thử và triển khai an toàn (Secure Testing and Deployment)

An toàn thông tin (Security)

• Bộ ba CIA (Bảo mật – Toàn vẹn – Sẵn sàng) – Lý do team IT Security tồn tại
• Bảo mật (Confidentiality): bảo vệ dữ liệu khỏi truy cập trái phép
• Toàn vẹn (Integrity): bảo vệ dữ liệu khỏi bị thay đổi trái phép
• Sẵn sàng (Availability): bảo vệ dữ liệu khỏi bị mất hoặc hư hỏng

Yêu cầu an toàn (Security Requirement)

• Hệ thống có chứa hoặc tiếp cận với các loại dữ liệu bí mật, nhạy cảm, hay dữ liệu định danh cá nhân (PII)

Defense in Depth (Phòng thủ theo chiều sâu)

• Ví dụ: Web Application Server gồm 3 layer bảo mật – 1 ví dụ của cơ chế phòng thủ theo chiều sâu (defense in depth)

Secure SDLC (Quy trình phát triển phần mềm an toàn)

• Là một phiên bản của quy trình phát triển phần mềm SDLC với tập trung vào an toàn và bảo mật

Description

Thông tin về quy trình phát triển phần mềm an toàn trong lĩnh vực CNTT, xác định yêu cầu, thiết kế và lập trình an toàn, khung phát triển phần mềm an toàn, cũng như các lỗi thường gặp trong quá trình phát triển.