Для осведомленного в безопасности клиента, чтобы получить уверенность в том, что ваше программное обеспечение является достаточно безопасным, вы должны иметь возможность представить жизненный цикл безопасной разработки, который имел место во время разработки и привел к созданию безопасного программного обеспечения. Потому что это действительно единственный способ получить такую гарантию.
Безопасный sdl c включает в себя такие элементы, как осведомленность / образование по вопросам безопасности для разработчиков, чтобы знать о них и избегать проблем с безопасностью. Он включает в себя обзоры функций, архитектуру безопасности и обзоры кода во время разработки, сканирование stati c (sast), динамическое сканирование c (dast) или, что более недавно, iast, также включает тестирование на проникновение, а в случае SaaS также безопасное операции, управление конфигурацией, управление журналами, devsecops.
Впоследствии вы не сможете получить такой уровень гарантии.
Однако вы можете иметь некоторые его элементы. Вы можете запустить сканирование stati c , вы можете купить тест на проникновение, вы можете показать, как вы справляетесь с проблемами безопасности и так далее. Во многих случаях это на самом деле достаточно хорошо, но имейте в виду, что действительно безопасное программное обеспечение - это не только это.