Gran pregunta No hay una respuesta fácil y cada organización tiene su propia forma de evaluar el software. Algunos confían en ciertos estándares: certificación interna, publicada, de terceros, etc.
El desafío aquí es que cada software se construye con cierta suposición sobre cómo se usará e implementará. Y NO todo el software tiene control completo sobre el hardware, la red y el software. (a diferencia de Apple, controlan su propio software que se ejecuta en el hardware de Apple y verifican / aprueban cada aplicación en la tienda de aplicaciones, excepto Mac OS donde puede ir y descargar, deshabilitar la configuración de seguridad).
Con ese desafío en mente, continúa leyendo.
- ¿Con qué frecuencia los ingenieros de aprendizaje automático implementan sus propios algoritmos?
- ¿La programación del juego no está relacionada con la programación normal?
- Cómo comenzar a trabajar con git y GitHub
- ¿Es útil la certificación de desarrollador certificado por AWS para ingenieros de infraestructura o ingenieros de desarrollo de software? Necesito ayuda para entender esto.
- ¿Hay compañías de software o tecnología que comenzaron como proyectos de GitHub?
a) Arquitectura de seguridad del software: el software hace las cosas básicas por sí solo de manera segura, como autenticación, autorización, etc., o se integra con la solución IDM, AD, etc.
b) ¿Cuál es el riesgo comercial si el software se ve comprometido? Esta es una pregunta de negocios y debe comprenderla para evaluar el software.
c) ¿Se puede implementar el software en una red aislada?
d) Vulnerabilidades comunes: ¿se abordan? ¿Existen?
e) Cumplimiento: este es un tema diferente en sí mismo. Pero es una manera fácil de evaluar cuán compatible es el software con los estándares respectivos (PCI, HIPAA, etc.) y luego jugar 20 preguntas sobre cada aspecto del cumplimiento para comprender realmente qué tan seguro es el software.
f) Integración: este es a menudo el eslabón más débil.
g) Una vez que incluya el cifrado o la firma, debe tener en cuenta los aspectos clave de gestión.
h) Cuando no tenga ningún estándar interno (u OWASP) u otra cosa como punto de partida (o incluso de otro modo), simplemente “Siga los DATOS”, descubra cómo se producen, consumen, comparten, respaldan, DR, los datos, etc … entonces puede hacer sus preguntas para evaluar. (Sugerencia: Microsoft STRIDE / Modelado de amenazas)