تقييم نضج أمن دورة حياة تطوير البرمجيات

يمثل الأمن السيبراني تحديًا متزايدًا للمؤسسات العامة والخاصة وكذلك للأفراد. إذ أصبح تطور الهجمات الإلكترونية ورقيها مصدر قلق كبير لصناع القرار والمستخدمين على جميع المستويات. اذ يتخذ المهاجمون مناهج جد متطورة لاستغلال نقاط ضعف نظم المعلومات حتى يتمكنوا من الولوج إليها بطرق غير مشروعة من أجل المساس بسرية وتوافر وتمامية هذه النظم. في نطاق النظم المستهدفة تمثل أصول التطبيقات أهداف رئيسية. و قد أظهرت الدراسات الحديثة أن بعض الهجمات الناجحة تستهدف نقاط الضعف القابلة للاستغلال داخل طبقة التطبيق.

على هذا النحو ووفقًا لمجموعة «Software Improvement Group» استغلت حوالي 75 ٪ من هجمات الإنترنت نقاط الضعف الأمنية الخاصة بالبرمجيات.

للتغلب على هذه المشكلة، حاول مطورو البرمجيات في الماضي، الاستعانة بمصادر خارجية لمهام الأمن. وقد تم ذلك باستخدام جدران الحماية وأجهزة الكشف عن التسلل أو الحماية من البرمجيات الخبيثة. غير أنه إذا كان البرنامج يحتوي على نقاط ضعف أمنية، فليس من الممكن دائمًا معالجة نقاط الضعف هذه عبر عناصر أمنية مضافة خارجيا دون فقدان القدرة الوظيفية. هذه الممارسة المنتشرة حاليًا لتطوير البرمجيات تخلق العديد من نقاط الضعف، التي يجب معالجتها في أسرع وقت ممكن من خلال دورات التصحيح.

ستستمر المخاطر على التطبيقات المتقدمة في الزيادة بشكل كبير ما لم يؤخذ في الاعتبار أمن البرمجيات المثبتة. ولهذا أصبح من المهم بشكل متزايد اعتماد نهج يدمج الأمان منذ تصميم البرامج وإلى أن يتم تسليمها وإدخالها حيز الإنتاج. من خلال مختلف عمليات الإفتحاص التي أجريت من طرف المديرية العامة لأمن نظم المعلومات ومتعهدي افتحاص أمن نظم المعلومات مع مختلف الجهات الشريكة، كثيرا ما وجد أن التطبيقات المطورة لديها العديد من نقاط الضعف الحرجة التي عادة ما يكون تصحيحها مكلفا. القيام بتطوير تطبيق ثم التفكير في تدابير السلامة التي يجب وضعها لاحقا هو ممارسة شائعة تحث المديرية العامة لأمن نظم المعلومات على تجنبها.

وتوصي هذه الأخيرة بالفعل بإدماج مقتضيات السلامة منذ تصميم البرنامج. هذه المقتضيات قد تؤدي إلى تغيير الخيارات ، كالهندسة والوظائف أو خيارات التكنولوجيا، وما إلى ذلك.

وبهذا الصدد توصي المديرية العامة لأمن نظم المعلومات بإدراج مفهوم المخاطر في دورة حياة مشاريع تطوير البرمجيات. الهدف هو اقتراح سلسلة من الإجراءات موزعة طوال دورة تصميم وتطوير المنتجات التي تدمج في منهجية المشاريع المتوفرة بكل هيئة. كما أن اشراك جميع المتدخلين ( مطوري البرامج، مديري الأمن/المخاطر والعمليات ) يمثل ضمانا للأمن في هذا النهج. اذ يجب أن تكون السلامة مسؤولية الجميع.

وفي هذا الإطار قامت المديرية العامة لأمن نظم المعلومات خلال سنة 2021 بوضع دليل متعلق بنضج دورة تطوير البرمجيات. ويحدد هذا الدليل أمن التطبيقات وفقا لعدة محاور من بينها:

 أشهر منهجيات تطوير البرمجيات.

 بعض نماذج دورات حياة تطوير البرمجيات الآمنة.

 التركيز على نموذج النضج «SAMM».

 ثم مصفوفة حساب مستوى النضج وفقا لنموذج «SAMM 2.0».

تمثل مصفوفة حساب مستوى النضج نتاج هذا العمل. اذ تتيح للجهات المعنية، بغض النظر عن منهجية تطوير البرمجيات المعتمد ة، الو لوج إلى استمارة أسئلة/أجوبة بسيطة وموجزة من أجل حساب مستوى النضج الأمني لدورات تطوير البرمجيات الخاصة بها بكل شفافية، وذلك بنفس الطريقة التي كانت تستخدم سابقا في إطار التوجيهات الوطنية لأمن نظم المعلومات .

تم تصميم النهج المقترح ليكون مستقلا عن منهجية التطوير المتبعة، مما يعني أن تطبيقه يصلح لجميع أنواع المشاريع. كما ينبغي أن يتيح ما يلي:

 تقييم ممارسات أمن البرمجيات المتوفرة في المؤسسة.

 بناء برنامج أمان متوازن للبرمجيات حسب حلقات محددة جيدا.

 اظهار تحسينات ملموسة لبرنامج ضمان السلامة.

 تحديد وقياس الأنشطة المتصلة بالأمن.

 تمكين الهيئات من التقييم الذاتي وحساب الانحرافات عن ممارسات السلامة المعمول بها.

الهدف من هذا النهج هو زيادة تطوير ثقافة سلامة التطبيقات على الصعيد الوطني. و تدعو المديرية العامة لأمن نظم المعلوما ت جميع الجهات الشريكة إلى إجراء التقييم المقترح واخبارها بالنتائج بغية انتاج وثيقة موحدة فيما يتعلق بالنضج الأمني لدورة تطوير البرمجيات على الصعيد الوطني.

للتبليغ عن المحتويات الرقمية الإجرامية أوالعنيفة، أو تلك التي تتضمن تحريضا على المساس بسلامة الأفراد والجماعات، أو تنطوي على إشادة بالإرهاب أوالتحريض عليه، أو تمس بحقوق وحريات الأطفال. يرجى استعمال منصة التبليغ الرقمي التالية  : www.e-blagh.ma  

DGSSI2024 All rights reserved