> Módulo 1: Conceptos de software seguro

Conceptos básicos 

Principios de diseño de seguridad

 

> Módulo 2: Requisitos de software seguro

Definir los requisitos de seguridad del software 

Identificar y analizar los requisitos de cumplimiento

Identificar y analizar los requisitos de clasificación de datos 

Identificar y analizar los requisitos de privacidad 

Desarrollar casos de mal uso y abuso 

Desarrollar la matriz de trazabilidad de requisitos de seguridad (STRM)

Asegúrese de que los requisitos de seguridad fluyan hacia los proveedores / proveedores

 

> Módulo 3: Arquitectura y diseño de software seguro

Definir la arquitectura de seguridad 

Realización de un diseño de interfaz seguro 

Realización de una evaluación de riesgos arquitectónicos 

Restricciones y propiedades de seguridad (no funcionales) del modelo

Modelar y clasificar datos 

Evaluar y seleccionar un diseño seguro reutilizable 

Realizar revisión de diseño y arquitectura de seguridad 

Definir la arquitectura operativa segura (por ejemplo, topología de implementación, interfaces operativas) 

Utilice principios, patrones y herramientas de arquitectura y diseño seguros

 

> Módulo 4: Implementación segura de software

Adherirse a las prácticas de codificación segura relevantes (por ejemplo, estándares, pautas y regulaciones) 

Analizar el código para detectar riesgos de seguridad 

Implementar controles de seguridad (por ejemplo, perros guardianes, monitoreo de integridad de archivos (FIM), anti-malware) 

Abordar los riesgos de seguridad (por ejemplo, remediación, mitigación, transferencia, aceptar) 

Reutilice de forma segura códigos o bibliotecas de terceros (por ejemplo, análisis de composición de software (SCA)) 

Integrar componentes de forma segura 

Aplicar seguridad durante el proceso de construcción

 

> Módulo 5: Pruebas de software seguras

Desarrollar casos de prueba de seguridad 

Desarrollar una estrategia y un plan de pruebas de seguridad 

Verificar y validar la documentación (por ejemplo, instrucciones de instalación y configuración, mensajes de error, guías de usuario, notas de la versión) 

Identificar la funcionalidad indocumentada 

Analizar las implicaciones de seguridad de los resultados de la prueba (por ejemplo, impacto en la gestión de productos, priorización, criterios de construcción de rupturas) 

Clasificar y rastrear errores de seguridad 

Datos de prueba seguros 

Realizar pruebas de verificación y validación

 

> Módulo 6: Gestión segura del ciclo de vida

Configuración segura y control de versiones (por ejemplo, hardware, software, documentación, interfaces, parches) 

Definir estrategia y hoja de ruta 

Gestionar la seguridad dentro de una metodología de desarrollo de software

Identificar marcos y estándares de seguridad 

Definir y desarrollar documentación de seguridad

Desarrollar métricas de seguridad (por ejemplo, defectos por línea de código, nivel de criticidad, tiempo promedio de corrección, complejidad  

Software de retirada 

Informar el estado de seguridad (por ejemplo, informes, paneles, ciclos de retroalimentación) 

Incorporar la Gestión Integrada de Riesgos (IRM) 

Promover la cultura de seguridad en el desarrollo de software 

Implementar la mejora continua (por ejemplo, retrospectiva, lecciones aprendidas)

 

> Módulo 7: Implementación, operaciones y mantenimiento de software

Realizar análisis de riesgo operacional 

Liberar software de forma segura 

Almacene y administre datos de seguridad de forma segura 

Garantizar una instalación segura 

Realizar pruebas de seguridad posteriores a la implementación 

Obtener la aprobación de seguridad para operar (por ejemplo, aceptación del riesgo, aprobación en el nivel apropiado) 

Realizar monitoreo continuo de seguridad de la información (ISCM) 

Soporte de respuesta a incidentes 

Realizar la gestión de parches (por ejemplo, liberación segura, pruebas)

Realizar gestión de vulnerabilidades (p. Ej., Escaneo, seguimiento, clasificación)

Protección en tiempo de ejecución (p. Ej., Autoprotección de aplicaciones en tiempo de ejecución (RASP), firewall de aplicaciones web (WAF), distribución aleatoria del diseño del espacio de direcciones (ASLR)) 

Apoyar la continuidad de las operaciones 

Integrar los objetivos de nivel de servicio (SLO) y los acuerdos de nivel de servicio (SLA) (por ejemplo, mantenimiento, rendimiento, disponibilidad, personal calificado)

 

> Módulo 8: Cadena de suministro

Implementar la gestión de riesgos de la cadena de suministro de software

Analizar la seguridad del software de terceros 

Verificar el pedigrí y la procedencia 

Garantizar los requisitos de seguridad del proveedor en el proceso de adquisición 

Respaldar los requisitos contractuales (p. Ej., Propiedad de la propiedad intelectual (IP), depósito de código, responsabilidad, garantía, Acuerdo de licencia de usuario final (EULA), Acuerdos de nivel de servicio (SLA))