Protección de pérdida de datos en artefactos de software

Question

Protección de pérdida de datos en artefactos de software

5

La protección contra pérdida de datos es una preocupación importante para todas las industrias. El proceso de ingeniería del software involucra múltiples puntos para la pérdida potencial de datos, ya que hay otras partes involucradas además del equipo de desarrollo de software y cliente. La lista puede incluir agencias de pruebas externas, otros proveedores de software, agencias consultoras, etc. Desde el documento de análisis de requisitos hasta el código fuente y más allá, todos los artefactos de software contienen información que el cliente puede considerar sensible.

Se han realizado considerables esfuerzos para proteger los datos generados por la aplicación utilizando el anonimato k, la diversidad en L. Un breve resumen es aquí

¿Pero cuáles son las opciones / mejores prácticas / herramientas disponibles para proteger la información confidencial que se encuentra en los artefactos del software (por ejemplo, documentos de análisis, código fuente, documentación, etc.) en un formato más bien desestructurado? (Por supuesto, excepto NDA y buena fe ...)

data-leakage source-code sdl

pregunta Tathagata 20.01.2011 - 23:56

fuente

1 respuesta

Lea otras preguntas en las etiquetas data-leakage source-code sdl

Uso de la autenticación AD en una aplicación web de acceso público ¿Control doble (acceso de dos personas) a los inicios de sesión de la raíz de AWS?

score 3 · Answer 1

Hace poco escribí en el blog sobre cómo trato con el código fuente de mis clientes . Esencialmente: control de versión para auditoría, cifrado para, bueno, cifrado. Los artefactos compilados se almacenan en los mismos sistemas de archivos cifrados, y si tienen que ir a otros dispositivos, se cifran allí donde están disponibles y se eliminan tan pronto como no se usan.

Una historia similar es cierta para los documentos: trabajo con modelos de amenazas para algunos clientes, y se administran de la misma manera que se describe anteriormente.

Supongo que lo que estoy diciendo es que realmente no hay nada intrínseco en las herramientas de ingeniería de software para detener la fuga de datos, aunque, por supuesto, una buena instalación de SCM puede limitar y rastrear quién accede a los datos confidenciales, pero una vez que se comprueba estás por tu cuenta Parte del software DLP puede configurarse para tratar los archivos de código fuente como confidenciales, lo que puede valer la pena revisar. Pero si trabaja con consultores o subcontratistas, entonces tiene un contrato con ellos y cualquier nivel de detección / cumplimiento es mutuamente aceptable según los términos del contrato.