El software creado en New Relic para nuestra plataforma New Relic disponible de forma generalizada pasa por estas cinco fases.
Fase de desarrollo de software | Control de seguridad |
|---|---|
Requisitos | Evaluación de riesgos |
Diseño | Modelado de amenazas |
Desarrollo | Estándares y prácticas de codificación segura |
Verificación | Revisión de código, revisión de seguridad, análisis de código estático, análisis de composición, hash calculado, código firmado |
Desplegar | Hacker One y el programa de divulgación coordinado New Relic, análisis periódicos y pruebas de penetración de terceros |
Requisitos
A cada equipo de proyecto de nuestra plataforma New Relic, disponible de forma generalizada, se le asigna un ingeniero de seguridad encargado de revisar y asesorar sobre la seguridad de los productos New Relic. En la fase de construcción de requisitos, los ingenieros de seguridad realizan una evaluación de riesgos y luego agregan requisitos de seguridad para el proyecto. Se agregan expertos en privacidad y cumplimiento a los equipos del proyecto según sea necesario.
Diseño
Durante la fase de diseño, los ingenieros de seguridad de New Relic colaboran con las partes interesadas, líderes de ingeniería y arquitectos para obtener una comprensión compartida detallada de la característica. Los ingenieros de seguridad de New Relic contribuyen al proceso de diseño con las partes interesadas mediante la creación de un modelo de amenaza que documenta cualquier criterio, característica o requisito de aceptación para implementar de forma segura la característica. Utilizando el modelo de amenazas, los ingenieros de seguridad agregan especificaciones detalladas para los controles requeridos al proyecto.
Construir
Cada ingeniero de producto recibe capacitación en codificación segura que incluye temas como el top 10 de OWASP, desinfección de entradas y uso del marco y proceso seguros que ya existen en New Relic. En la fase de construcción, el equipo de ingeniería implementa características de seguridad apropiadas en el proyecto siguiendo los estándares de codificación segura en New Relic.
Verificación
Una vez completada la característica, cada [la] solicitud de extracción debe ser revisada por otro ingeniero con acceso de escritura al repositorio de código. Además del software de escaneo de códigos que busca automáticamente vulnerabilidades en las políticas de seguridad, los ingenieros de seguridad verifican que las salvaguardas y controles recomendados en las fases de diseño, requisitos y evaluación se implementaron cuando fue necesario.
New Relic realiza análisis de composición y código estático para buscar vulnerabilidades en el código y dependencia.
Desplegar
New Relic está en proceso de incluir hash y firmas. Cualquiera que descargue archivos publicados por New Relic podrá confirmar que su archivo descargado no ha sido manipulado y es idéntico al publicado por New Relic.
El código de implementación es monitoreado por las partes interesadas y el ingeniero del producto para continuar con el proceso de desarrollo iterativo. El equipo de seguridad continúa evaluando la seguridad del código de implementación mediante la realización de análisis de seguridad periódicos, pruebas de penetración de terceros y mediante el proceso de divulgación coordinada.