Esto es como una recomendación de un producto, por lo que puede terminar cerrado. También debe tener cuidado de distinguir entre una lista de verificación y un estándar.
Si está buscando algunas listas de comprobación de alto nivel para usar en su proceso de desarrollo, puede consultar SANS SWAT , que cubre consideraciones más lógicas en lugar de problemas específicos de nivel de código. También le puede interesar la serie ISO 27000 (es decir, ISO / IEC 27034 ) (no solo 27001 o 27002 ). Otras metodologías incluyen STRIDE (no recomendaría) y DREAD de Microsoft
No está claro si esto es para un lenguaje de programación específico, pero el NASA JPL tiene pautas para C y JAVA que puede ser útil considerar como parte de los estándares de seguridad. Oracle tiene sus propias pautas de seguridad de JAVA . Las pautas de CERT que ya se encuentran en respuesta de Jaques también están en el mismo ámbito.
Deberá aclarar sus objetivos y aprovechar estas herramientas para crear:
- Normas de codificación seguras (el código se formateará de esta manera)
- Estándares específicos de la biblioteca / plataforma (los tokens CSRF utilizarán esta función común)
- Prácticas de desarrollo seguro / SDLC (el código se someterá a estos escáneres, herramientas o procesos antes de comprometerse; prueba de la pluma antes de pasar a producción)
- Pruebas y revisiones en curso (re-certificaciones de aplicaciones que ocurren regularmente; procedimientos de divulgación responsables)
Una lista de verificación podría ser una buena manera de comenzar, ya que está bien definida, pero los procesos incorrectos pueden ser igual de dañinos, por ejemplo, si promocionas la rama incorrecta con el código del buggy).