Mitä on SSDLC kyberturvallisuudessa?
SSDLC tarkoittaa Secure Software Development Life Cycle eli turvallista ohjelmistokehityksen elinkaarta. Se on kuin perinteisen ohjelmistokehityksen elinkaaren (SDLC) laajennus.
Sen sijaan, että turvallisuus käsiteltäisiin vasta ennen julkaisua, SSDLC-lähestymistapa sisällyttää turvallisuuden jokaiseen SDLC:n vaiheeseen, suunnittelusta, koodauksesta, testauksesta, käyttöönottoon ja ylläpitoon. Tavoitteena on käsitellä haavoittuvuusongelmia varhaisessa vaiheessa, vähentää kalliiden korjausten riskiä tulevaisuudessa ja parantaa sovelluksen turvallisuutta.
Keskeiset käytännöt SSDLC:ssä
- Uhkamallinnus - uhkien tunnistaminen suunnitteluvaiheessa
- Turvallinen koodaus - turvallisen koodausstandardin noudattaminen haavoittuvuuksien estämiseksi
- Automaattinen turvallisuustestaus - turvallisuustyökalujen, kuten SCA, SAST, DAST, käyttö kehityksen aikana
- Koodin tarkastukset ja tunkeutumistestaus - manuaalisen validoinnin lisääminen automatisoitujen turvallisuusskannausten ohella
- Jatkuva seuranta - turvallisuuden ylläpitäminen tuotannossa
SSDLC vs SDLC
Molemmat ovat hyödyllisiä ohjelmistokehityksessä, mutta niillä on eri laajuudet:
| Näkökohta | SDLC | SSDLC |
|---|---|---|
| Keskittyminen | Ohjelmiston toiminnallisuus, suorituskyky ja toimitus. | Turvallisuus integroituna toiminnallisuuden ja suorituskyvyn rinnalle. |
| Turvallisuuden rooli | Usein huomioidaan myöhään syklissä (esim. ennen julkaisua tapahtuva testaus). | Sisällytetty kaikkiin vaiheisiin, suunnittelusta ylläpitoon. |
| Lopputulos | Ohjelmisto, joka toimii, mutta saattaa vaatia korjauksia julkaisun jälkeen. | Ohjelmisto, joka on suunniteltu turvalliseksi oletuksena, vähentäen haavoittuvuuksia. |
Lyhyesti sanottuna, SDLC koskee ohjelmiston rakentamista, kun taas SSDLC koskee turvallisen ohjelmiston rakentamista.