A Open Source Foundation for Application Security (OWASP) anunciou uma estrutura de referência de maturidade de desenvolvimento de software seguro de cinco dimensões (SwSec 5D) em maio de 2023. Sua função é fornecer um roteiro para o desenvolvimento de software seguro e seu uso ajudaria a melhorar a segurança no cadeia de suprimentos de software.
O líder do projeto para o OWASP SwSec 5D é Matteo Meucci, CEO da IMQ Minded Security. A empresa é uma empresa de consultoria SDLC e Meucci trabalha com a OWASP desde 2002. A abordagem de cinco dimensões para SDLC foi concebida pela IMQ Minded Security, doada à OWASP em 2018 e, desde então, refinada para lançamento pela OWASP.
“O que eu vi em nossos clientes”, disse Meucci Cibersegurança Notícias, “é que a abordagem de muitas empresas para o desenvolvimento seguro de software é testar, testar e mais testes – e isso não é suficiente. Embora existam modelos de ciclo de vida de desenvolvimento de software (SDLC), como o modelo Waterfall e a metodologia Agile, esses modelos tradicionais carecem de um foco claro na segurança, tornando-os inadequados para abordar questões de segurança de desenvolvimento de software.”
Essa observação básica levou Meucci e OWASP a desenvolver uma nova estrutura SDLC segura de cinco dimensões. Meucci acredita que há cinco dimensões separadas no desenvolvimento seguro e que todas as cinco devem ser adequadamente satisfeitas.
As cinco dimensões são processos, testes, equipe, conscientização e padrões. O modelo SwSec 5D é uma estrutura e ferramenta para atender e medir a maturidade de uma empresa nessas cinco dimensões. A estrutura é descrita no Estrutura 5D de segurança de software OWASP documento (Baixar PDF), e a ferramenta que fornece a avaliação de maturidade é um formulário on-line do Google. O processo de medição da maturidade pode ser realizado em apenas algumas horas, pontos fracos destacados e melhorias implementadas.
PROCESSOS são os processos usados para gerenciar riscos de segurança em todo o SDLC, como avaliação de risco, requisitos de segurança, modelagem de ameaças, design de segurança, aceitação de software e correção de bugs de segurança.
O EQUIPE A dimensão descreve as funções de pessoal necessárias para o desenvolvimento seguro, como gerentes de AppSec ou CISOs, campeões de segurança, especialistas em AppSec, arquitetos de satélites, desenvolvedores de satélites e auditores de satélites.
O CONHECIMENTO A dimensão foca na conscientização e treinamento dos membros da equipe envolvidos no ciclo de vida do desenvolvimento de software.
O TESTE A dimensão concentra-se em testar e avaliar o software, incluindo o uso de ferramentas como SAST, DAST, IAST e RASP. O teste manual deve ser fornecido por meio de uma revisão do código de segurança e teste de penetração.
O PADRÕES A dimensão concentra-se no uso de padrões de desenvolvimento existentes, como o modelo OWASP SAMM.
A avaliação de maturidade é entregue por meio de um questionário simples e pontuado pelas respostas (exemplo de pergunta: “A maioria de seus aplicativos e recursos são categorizados por risco?”). Cada resposta recebe uma pontuação que varia de 0 a 3, e um SDLC seguro totalmente maduro retornará um valor médio de três.
Em seu próprio processo de teste de modelo, a OWASP usou a estrutura em 12 instituições financeiras e cinco fornecedores independentes de software. As instituições financeiras pontuaram consistentemente mais alto do que os ISVs, embora nenhum dos grupos tenha alcançado uma pontuação média de 3 em qualquer lugar. As finanças alcançaram 2,5 em ‘testing’ (ISVs pontuaram 1,6); mas apenas 1,7 em ‘processos’ (ISVs pontuaram 1,5).
Esse desempenho relativamente ruim dos ISVs pode ser considerado preocupante, dada a intenção da Estratégia Nacional de Segurança Cibernética dos EUA para o ônus da segurança cibernética e sua insistência na ‘segurança por design’. A implicação é que os fornecedores de software podem cada vez mais ser responsabilizados pela segurança do software que desenvolvem e vendem.
Meucci e OWASP acreditam que um SDLC seguro eficaz requer maturidade demonstrável em todas as cinco dimensões. O modelo de maturidade SwSec 5D ajudará as empresas a obter maior segurança em seus próprios desenvolvimentos internos, mas também ajudará a cadeia de suprimentos de software ao quantificar a maturidade de segurança dos aplicativos da Web adquiridos. Embora seja, em última análise, um exercício de caixa de seleção, a insistência dos compradores em evidências documentais pode ser uma solução eficaz – e, como o processo leva apenas algumas horas, os CISOs compradores podem depender do uso dos fornecedores do processo de avaliação OWASP SwSec 5D SDLC .