O software desenvolvido na New Relic para nossa plataforma New Relic disponível ao público passa por essas cinco fases.
Fase de desenvolvimento de software | Controle de segurança |
|---|---|
Requisitos | Avaliação de risco |
Projeto | Modelagem de ameaças |
Desenvolvimento | Padrões e práticas de codificação seguras |
Verificação | Revisão de código, revisão de segurança, análise de código estático, análise de composição, cálculo aplicar hash, código assinado |
Implantar | Hacker One e o programa de divulgação coordenado da New Relic, verificações regulares, testes de penetração de terceiros |
Requisitos
Cada equipe de projeto da nossa plataforma New Relic, disponível ao público em geral, recebe um engenheiro de segurança encarregado de revisar e aconselhar sobre a segurança dos produtos New Relic. Na fase de construção de requisitos os engenheiros de segurança realizam uma avaliação de risco e depois adicionam requisitos de segurança para o projeto. Especialistas em privacidade e conformidade são adicionados às equipes do projeto conforme necessário.
Projeto
Durante a fase de projeto, os engenheiros de segurança da New Relic colaboram com as partes interessadas, líderes de engenharia e arquitetos para obter uma compreensão compartilhada detalhada do recurso. Os engenheiros de segurança da New Relic contribuem para o processo de design com as partes interessadas, criando um modelo de ameaça que documenta quaisquer critérios de aceitação, recursos ou requisitos para implementar o recurso com segurança. Utilizando o modelo de ameaça, os engenheiros de segurança adicionam especificações detalhadas para os controles necessários ao projeto.
Construir
Cada engenheiro de produto recebe treinamento de codificação segura que inclui tópicos como o top 10 do OWASP, limpeza de entrada e uso da estrutura e processo seguros já implementados na New Relic. Na fase de construção a equipe de engenharia implementa recursos de segurança apropriados no projeto seguindo os padrões de codificação segura da New Relic.
Verificação
Após a conclusão do recurso, cada pull request deve ser revisada de código por outro engenheiro com acesso de gravação ao repositório de código. Além do software de varredura de código verificar automaticamente vulnerabilidades em relação às políticas de segurança, os engenheiros de segurança verificam se as proteções e os controles recomendados nas fases de design, requisitos e avaliação foram implementados quando necessário.
A New Relic realiza análise estática de código e composição para procurar vulnerabilidades no código e na dependência.
Implantar
A New Relic está em processo de inclusão de hash e assinaturas. Qualquer pessoa que baixar arquivos publicados pela New Relic poderá confirmar que o arquivo baixado não foi adulterado e é idêntico ao publicado pela New Relic.
O código implantado é monitorado pelos stakeholders e engenheiro do produto, a fim de dar continuidade ao processo de desenvolvimento iterativo. A equipe de segurança continua avaliando a segurança do código implantado realizando verificações de segurança regulares, testes de penetração de terceiros e por meio do processo de divulgação coordenado.