¿Qué criterios de evaluación usaría para seleccionar la herramienta de análisis de Oracle correcta?
Contexto:
Para implementar una herramienta de análisis automatizada (nessus / SQuirreL, etc.) para que la usen los equipos de desarrollo y los equipos de seguridad.
Una herramienta para ser utilizada por ambos equipos durante la etapa de compilación, la administración continua (parches, cambios en la estructura de la base de datos) y para actividades relacionadas con la garantía (como auditoría interna o revisión de seguridad).
Un ejemplo para esto sería:
Capacidad para restringir el craqueo de contraseñas. Si bien esto puede tener valor para el equipo de seguridad, no quisiera que el equipo de desarrollo pueda descifrar las contraseñas.
Entonces, a riesgo de dar ahora mi propia respuesta (¡todavía estoy ansioso por tener más pensamientos sobre esto!). Se me ha ocurrido lo siguiente:
- ¿La herramienta proporciona informes de cumplimiento generados contra su propio estándar interno
Esto sería útil para el equipo de desarrollo para garantizar que la compilación cumpla con el nivel requerido.
- ¿La herramienta produce informes de cumplimiento generados contra norma externa
Como CIS o NIST, ya que esto sería para la Seguridad equipo para comparar el delta entre la construcción aprobada y las mejores prácticas de la industria.
- Capacidad para llevar a cabo una vulnerabilidad Escanear
¿La compilación realmente proporciona suficiente protección? Utilizando un enfoque de análisis / exploración de vulnerabilidades para probar la compilación de exposición a la seguridad.
Dose la herramienta produce un informe en faltan parches?
¿Puedo restringir el escaneo a específico? activos / grupos de usuarios?
¿Algún otro que pueda ser útil?