Model | Gouvernance | Éducation & Orientation
La pratique de l’Education et Orientation (EG) vise à fournir au personnel impliqué dans le cycle de vie du logiciel des connaissances et des ressources pour concevoir, développer et déployer des logiciels sécurisés. Grâce à un meilleur accès à l’information, les équipes projet peuvent identifier et atténuer de manière proactive les risques spécifiques de sécurité qui s’appliquent à leur organisation.
Un des principaux thèmes pour la progression à travers les Objectifs est la fourniture de formation aux employés et l’amélioration de leur sensibilisation à la sécurité soit par le biais de sessions menées par un formateur ou de modules informatiques. Au fur et à mesure que l’organisation progresse, elle construit une large base de formations en commençant par les développeurs et en passant à d’autres rôles, le point d’orgue étant l’ajout de formations spécifiques à des fonctions pour garantir la pertinence et l’efficacité.
En plus de la formation, cette pratique exige également que l’organisation investisse de manière significative dans l’amélioration de la culture organisationnelle afin de promouvoir la sécurité des applications à travers la collaboration entre les équipes. Les outils collaboratifs et une transparence accrue entre les technologies et les outils soutiennent cette approche d’amélioration de la sécurité des applications.
| Maturity level | Stream AFormation et Sensibilisation | Stream BOrganisation et Culture | |
|---|---|---|---|
| 1 | Offrir au personnel un accès aux ressources autour des thèmes du développement et du déploiement sécurisés. | Fournir une formation de sensibilisation à la sécurité à tous les employés impliqués dans le développement de logiciels | Identifier un "Champion de la Sécurité" au sein de chaque équipe de développement. |
| 2 | Former tout le personnel au cycle de vie logiciel avec des conseils spécifiques selon les rôles et les technologies lors du développement sécurisé. | Offrir une technologie et des conseils spécifiques aux rôles, y compris des nuances de sécurité pour chaque langue et plate-forme | Développer un centre d'excellence en matière de sécurité logicielle qui favorise le leadership par la pensée parmi les développeurs et les architectes. |
| 3 | Développer des programmes de formation internes auxquels contribuent des développeurs de différentes équipes. | Des conseils internes standardisés sur les normes de développement de sécurité logicielle de l’entreprise. | Construire une communauté de sécurité logicielle incluant toutes les personnes de l'organisation impliquées dans la sécurité des logiciels. |