Implementacja bezpiecznego cyklu życia oprogramowania

Implementacja bezpiecznego cyklu życia oprogramowania (ang. Secure (Software) Development Life Cycle – SDLC/SSDLC) jest usługą przewidzianą dla zespołów programistycznych (Klientów tworzących oprogramowanie), ukierunkowaną nie tylko na wykształcenie lub rozszerzenie umiejętności tworzenia kodu odpornego na cyberataki, ale przede wszystkim wdrożenie w organizacji mechanizmów umożliwiających automatyzację procesów kontroli jakości wytwarzanego oprogramowania. Pozwoli to zespołom IT nie tylko pozyskać nową wiedzę, lecz jednocześnie dokonać długofalowej cyfrowej rewolucji firmowych procesów wytwarzania oprogramowania. Usługa przewiduje dostarczenie klientowi dopasowanego zbioru narzędzi oferujących:

• wersjonowanie oprogramowania – rozproszone repozytorium kodu (git),
• uniezależnienie od zewnętrznych dostawców oprogramowania – repozytorium artefaktów (maven, pypi, docker, npm, rubygems, uniwersalne),
• automatyczną weryfikację mierników jakości oprogramowania – np. pokrycie testami, code smells, zgodność ze standardami,
• automatyczne audyty kodu,
• wykrywanie podatności w wykorzystywanych komponentach,
• efekty cykl pracy z kodami – system ciągłej integracji.

Operator usługi jest świadomy, że na rynku istnieją ww. rozwiązania ale ich wykorzystanie i skonfigurowanie w sprawnie działający system SSDLC wymaga czasu, wiedzy i często wysokich kosztów samych komponentów. Dlatego operator proponuje innowacyjną usługę, której innowacyjność i konkurencyjność do usług rynkowych polega na kompleksowości. Korzystając z usługi klient otrzymuje:

• wstępne jednodniowe szkolenie z tematyki wytwarzania bezpiecznego kodu wysokiej jakości,
• instalację i konfigurację na zasobach klienta ww. środowiska SDLC (możliwe lokalne zarządzanie użytkownikami albo integracja z wybranym IdentityProvider),
• pomoc we wdrożeniu cyklu SDLC na wybranych przez klienta już istniejących fragmentów oprogramowania,
• wsparcie przy konfiguracji kolejnych kodów klienta – dostarczenie wzorców integracji dla wybranych technologii programistycznych (Python, Java, JavaScript, C++),
• wsparcie (aktualizacje) opracowanego przez operatora środowiska SDLC – uzależnione od aktualizacji dostarczanych przez twórców oprogramowania wykorzystywanego w środowisku SDLC.

Warto zauważyć, że usługa ta jest komplementarna z usługą Szkolenia z bezpiecznego programowania. W ramach tej usługi następuje przeszkolenie kadry programistów klienta, podczas gdy opisywana usługa pozwala zespołom DevOps (programistyczno-administracyjnym) automatycznie monitorować to, czy wyszkolona załoga korzysta z nabytej wiedzy. Z drugiej strony Implementacja bezpiecznego cyklu życia oprogramowania może być w pełni niezależna od usługi Szkolenia z bezpiecznego programowania, pozwalając klientom wdrożyć u siebie referencyjny system SSDLC, oferujący mierniki jakości i bezpieczeństwa wytwarzanego oprogramowania, natomiast nie narzuca sposobu szkolenia załogi, celem uzyskania sugerowanych w ramach SSDLC poziomów wskaźników jakości i bezpieczeństwa kodów.