מוצרים, מבדקים ובדיקות
ASPM מארגן עבודה בהיררכיה תלת-שכבתית מבית DefectDojo: מוצרים (Products) מכילים מבדקים (Engagements), והמבדקים מכילים בדיקות (Tests). המבנה הזה שומר ממצאים מיוחסים ליישום, למאמץ ולכלי הנכונים.
יתרונות עיקריים
Section titled “יתרונות עיקריים”| יתרון | יכולת | ערך עסקי |
|---|---|---|
| בעלות | ממצאים מיוחסים למוצר | תמיד יודעים של מי היישום שאליו הממצא שייך |
| הקשר | מבדקים מקבצים גוף עבודה | לממצאים יש “למה” ו”מתי” של ההערכה |
| עקיבות | בדיקות מתעדות את הכלי והריצה | תוצאות הניתנות לשחזור ולביקורת |
איך זה עובד
Section titled “איך זה עובד”מוצרים
Section titled “מוצרים”מוצר מייצג יישום או שירות שאתם מאבטחים. זהו המכל ברמה העליונה ונושא מטא-דאטה (צוות, קריטיוּת, תגיות) שמיידע את התעדוף.
מבדקים
Section titled “מבדקים”מבדק הוא חתיכת עבודה תחומה מול מוצר — ספרינט בדיקות, הערכת גרסה, או זרם CI רציף. המבדקים מחזיקים את הבדיקות ונותנים לממצאים מסגרת זמן ומטרה.
בדיקות
Section titled “בדיקות”בדיקה היא ריצה בודדת של כלי או בדיקה בתוך מבדק. היא מתעדת את סוג הבדיקה (SAST, DAST, SCA וכו’) ואת הממצאים שהפיקה.
מימוש / זרימת עבודה
Section titled “מימוש / זרימת עבודה”- צרו מוצר ליישום.
- פתחו מבדק להערכה או לזרם ה-CI.
- הוסיפו בדיקות (או ייבאו תוצאות — ראו ייבוא תוצאות).
- תעדפו את הממצאים, תוך החלת חוקי סיווג ו-החלטות סיכון.
שיטות עבודה מומלצות
Section titled “שיטות עבודה מומלצות”- מדלו מוצרים כך שיתאימו לאופן שבו הצוותים שלכם מחזיקים תוכנה, כך שממצאים ינותבו לבעלים הנכון.
- השתמשו במבדקים כדי להפריד הערכות נקודתיות מסריקת CI רציפה.