Relevancia y contexto de los procesos de entrega de software

0

Corríjame si me equivoco, ISO 27001 se centra mucho en los aspectos operativos y organizativos.

Sin embargo, en una organización que entrega software a un cliente como un producto o servicio, ¿cuáles son las partes de una auditoría ISO 27001 que trataría la identificación de vulnerabilidades en estos productos o servicios (implicando análisis de componentes y escáneres de vulnerabilidad en el nivel técnico)?

¿Cómo se combinan estos dos dominios?

¿Los auditores de seguridad hacen preguntas en una auditoría de seguridad como,

  • "¿Tiene un análisis de vulnerabilidad como parte de la administración de dependencias de sus componentes?
  • ¿Ha revisado su API para detectar violaciones de OWASP?
  • ¿Escaneas tus imágenes de Docker y te das cuenta de los riesgos relacionados con las imágenes base? "
pregunta J. Doe 05.12.2018 - 11:27
fuente

0 respuestas

Lea otras preguntas en las etiquetas