Model | Conception | Exigences de Sécurité
La pratique des exigences de sécurité (SR) se concentre sur les exigences de sécurité qui sont importantes dans le contexte des logiciels sécurisés. Un premier type traite des exigences propres au logiciel, qui est de préciser les objectifs et les attentes pour protéger le service et les données au cœur de l’application. Un deuxième type traite des exigences relatives aux fournisseurs qui font partie du contexte de développement de l’application, en particulier dans le cadre de l’externatisation. Il est important de rationaliser les attentes en termes de développement sécurisé, car le développement externalisé peut avoir un impact significatif sur la sécurité de l’application. La sécurité des bibliothèques tierces (techniques) fait partie du flux des chaînes d’approvisionnement du logiciel (voir Génération Sécurisée) et n’est pas inclus dans cette pratique.
| Maturity level | Stream AExigences Logicielles | Stream BSécurité du Fournisseur | |
|---|---|---|---|
| 1 | Traiter la sécurité explicitement pendant le processus d'exigences logicielles. | Les objectifs de sécurité applicatifs de haut niveau sont associés aux exigences fonctionnelles. | Évaluer le fournisseur selon des exigences de sécurité organisationnelles. |
| 2 | Augmenter la granularité des exigences de sécurité découlant de la logique métier et des risques connus. | Des exigences de sécurité structurées sont disponibles et utilisées par les équipes de développeurs. | Intégrer la sécurité dans les contrats avec les fournisseurs afin de garantir la conformité avec les exigences de l'organisation. |
| 3 | Exiger un processus d'exigences de sécurité pour tous les projets logiciels et les dépendances de tierces parties. | Construire un ensemble d'exigences pour utilisation par les équipes produits. | Assurer une couverture de sécurité adéquate pour les fournisseurs externes en fournissant des objectifs clairs. |