Содержание

• Общие положения
  • Область применения
  • Подход к безопасной разработке
  • Основные принципы
  • Ответственность участников процесса
    • Разработчик
    • Архитектор
    • Инженер по тестированию
    • Специалист по информационной безопасности
    • Ответственный за релиз
  • Нормативная база
  • Термины и сокращения
• Защита при разработке
  • Рецензирование кода
  • Контроль сторонних библиотек и доверенного контура сборки
  • Статический анализ прикладного кода
  • Анализ зависимостей и уязвимостей сторонних компонентов
  • Динамический анализ веб-интерфейсов и API
  • Дополнительные методы проверки безопасности
  • Фаззинг-тестирование
  • Управление уязвимостями
  • Принятие решения о выпуске
  • Учет результатов проверок
  • Обучение и осведомленность