Cycle de développement sécurisé
Comment Mendix gérer des processus de changement sécurisés dans le développement de logiciels ?
Mendix applique un cycle de vie de développement sécurisé (SDL) à toutes les équipes responsables de la Mendix Plate-forme, Mendix Cloud et applications associées. Ce processus garantit l'intégration des considérations de sécurité, juridiques et de qualité dès la planification et jusqu'aux opérations post-lancement.
Quelles pratiques de développement sécurisées sont en place ?
Tous Mendix Les développeurs suivent régulièrement des formations sur le codage sécurisé afin de prévenir les vulnérabilités courantes et de gérer correctement les données sensibles. En cas de problème juridique ou de sécurité (par exemple, confidentialité des données ou licences open source), les équipes de R&D consultent MendixLes équipes de développement externalisées sont soumises aux mêmes normes et exigences de conformité que les équipes internes.
Comment le portefeuille de produits est-il géré en tenant compte de la sécurité ?
Le portefeuille de produits est examiné et synchronisé par le directeur des produits, le comité de gestion des produits et les chefs de produit concernés. Les exigences en matière de sécurité et de confidentialité des données sont identifiées et prises en compte lors des phases de vision et de planification du produit. Les applications internes gérées par le service informatique sont gérées séparément par le comité de programme informatique.
Comment le code source est-il géré et contrôlé de manière sécurisée ?
L'accès au code source est limité aux seuls développeurs et ingénieurs et n'est accessible que via Mendix VPN et authentification par SSO. Le contrôle d'accès aux dépôts est géré par les équipes de développement. Le directeur technique est responsable de l'accès au code source pour la R&D, et le directeur informatique est responsable de l'accès au code source pour les problèmes informatiques.
Comment les évaluations par les pairs et la qualité du code sont-elles assurées ?
Chaque modification significative du code est soumise à une évaluation par les pairs selon le principe des quatre yeux ou de la programmation en binôme. Cela garantit le respect des normes de codage sécurisées et empêche les modifications non autorisées. Les développeurs ne peuvent pas déployer unilatéralement les mises à jour en production, ce qui garantit une séparation adéquate des tâches.
Quels contrôles de gestion des changements sont appliqués ?
Chaque changement nécessite un récit documenté, une évaluation des risques, un plan de retour en arrière, une évaluation par les pairs, des tests et l'approbation de la direction. Ces contrôles sont intégrés au processus de développement et sont revus trimestriellement par les auditeurs. Mendix intègre également des contrôles de sécurité automatisés, tels que Snyk pour l'analyse de la composition logicielle et Veracode pour les tests de sécurité des applications statiques.
Comment les données de test sont-elles traitées en toute sécurité ?
Mendix Garantit que les environnements de test sont logiquement isolés et exempts de données confidentielles ou sensibles. Les personas simulent les utilisateurs pendant les tests, et toutes les données de test sont supprimées avant la publication. La documentation des tests est conservée pendant un an pour garantir la traçabilité et le service client.
Quelles procédures régissent les sorties de produits ?
La préparation des versions comprend des tests complets, une évaluation des risques et une documentation, incluant des stratégies de gestion des versions et de restauration. Toutes les versions nécessitent l'approbation formelle d'un responsable responsable. Sans approbation, les versions sont bloquées. Les outils de revue de code vérifient également la conformité aux licences open source avant le déploiement.
Quelle est la stratégie de restauration ou de relance en cas de problèmes après la publication ?
Mendix Privilégie une approche de « retour en arrière » pour résoudre les problèmes critiques après publication, en passant à une nouvelle version intégrant un correctif tout en préservant les pistes d'audit. Si un retour en arrière est nécessaire, l'intégrité des données et les plans de sauvegarde sont soigneusement évalués avant leur mise en œuvre.
Comment la sécurité est-elle maintenue après la publication ?
Une fois déployé, Mendix Les produits sont continuellement testés pour détecter les vulnérabilités grâce à des outils automatisés, des partenaires de test externes et un programme public de bug bounty. Cette évaluation continue garantit une sécurité optimale tout au long du cycle de vie du produit.
Que se passe-t-il lorsqu’un produit atteint la fin de sa vie ?
Quand un Mendix Lorsque le produit est progressivement abandonné, les données sont supprimées en toute sécurité, conformément aux lois et réglementations en vigueur. Les services Sécurité de l'information et Confidentialité supervisent ce processus afin de garantir la conformité légale et réglementaire.
Pour plus d'informations, voir Convoyeur.