安全な開発ライフサイクル
どのように Mendix ソフトウェア開発における安全な変更プロセスを管理しますか?
Mendix セキュア開発ライフサイクル(SDL)を、開発を担当するすべてのチームに強制します。 Mendix プラットフォーム、 Mendix クラウドおよびサポートアプリケーション。このプロセスにより、計画段階からリリース後の運用に至るまで、セキュリティ、法的事項、品質に関する配慮が確実に組み込まれます。
どのような安全な開発手法が実施されていますか?
All Mendix 開発者は、一般的な脆弱性を防止し、機密データを適切に取り扱うために、セキュアコーディングに関する定期的なトレーニングを受けています。法的またはセキュリティ関連の懸念事項(データプライバシーやオープンソースライセンスなど)が発生した場合、R&Dチームは Mendixのセキュリティ部門または法務部門。アウトソーシングされた開発チームには、社内チームと同じ基準とコンプライアンス要件が適用されます。
セキュリティを考慮して製品ポートフォリオはどのように管理されていますか?
製品ポートフォリオは、最高製品責任者、製品管理委員会、および関連する製品マネージャーによってレビューされ、同期されます。セキュリティとデータプライバシーの要件は、製品のビジョンと計画段階で特定され、対処されます。社内ITサポートアプリは、ITプログラム委員会によって別途管理されます。
ソースコードはどのように安全に管理および制御されますか?
ソースコードへのアクセスは開発者とエンジニアのみに制限されており、 Mendix VPNとSSO認証によって実現されます。リポジトリへのアクセス制御は開発チームによって管理され、R&D発行のソースコードアクセスの最終責任者はCTO、IT発行のソースコードアクセスの最終責任者はCIOです。
ピアレビューとコード品質はどのように保証されますか?
重要なコード変更はすべて、4つの目(4-eyes)原則またはペアプログラミングを用いたピアレビューを受けます。これにより、安全なコーディング標準の遵守が確保され、不正な変更が防止されます。開発者は一方的にアップデートを本番環境にプッシュすることができないため、適切な職務分離が徹底されます。
どのような変更管理制御が実施されていますか?
各変更には、文書化されたストーリー、リスク評価、ロールバック計画、ピアレビュー、テスト、そして経営陣の承認が必要です。これらの管理策は開発プロセスに組み込まれており、監査人によって四半期ごとにレビューされます。 Mendix また、ソフトウェア構成分析用の Snyk や静的アプリケーション セキュリティ テスト用の Veracode などの自動セキュリティ チェックも統合されています。
テストデータはどのように安全に処理されますか?
Mendix テスト環境が論理的に分離され、機密データやセンシティブなデータが存在しないことを保証します。ペルソナはテスト中のユーザーをシミュレートし、すべてのテストデータはリリース前に削除されます。テストドキュメントは、トレーサビリティとカスタマーサービスをサポートするために1年間保持されます。
製品リリースを管理する手順は何ですか?
リリース準備には、包括的なテスト、リスク評価、そしてバージョン管理とロールバック戦略を含むドキュメント作成が含まれます。すべてのリリースには、担当マネージャーによる正式な承認が必要です。承認がない場合、リリースはブロックされます。コードレビューツールは、デプロイ前にオープンソースライセンスのコンプライアンスも検証します。
リリース後に問題が発生した場合のロールバックまたはロールフォワード戦略は何ですか?
Mendix リリース後の重大な問題を解決する際には、「ロールフォワード」アプローチを優先します。これは、監査証跡を保持しながら修正を組み込んだ新バージョンに移行するアプローチです。ロールバックが必要な場合は、実行前にデータの整合性とバックアップ計画を慎重に評価します。
リリース後のセキュリティはどのように維持されますか?
導入後は、 Mendix 製品は、自動化ツール、外部テストパートナー、そして公開バグ報奨金プログラムを用いて、継続的に脆弱性テストを実施しています。この継続的な評価により、製品のライフサイクル全体を通して強固なセキュリティ体制が確保されます。
製品の寿命が尽きるとどうなりますか?
時 Mendix 製品が段階的に廃止される際には、関連法規制を遵守し、データが安全に削除されます。情報セキュリティ部門とプライバシー部門がこのプロセスを監督し、法令遵守を確保します。
詳細については、を参照してください。 コンベヤー.