+45 45 34 44 00
3. Sikkert udviklingsmiljø
Sikkerheden af produktions-, udviklings- og kontinuerlige integrationsservere samt udvikleres arbejdsstationer skal være en prioritet, da de centraliserer adgangen til store mængder data.
Vurder dine risici og implementér passende sikkerhedsforanstaltninger
Vurder risikoen ved de værktøjer og processer, der anvendes i din udvikling. Lav en opgørelse over dine eksisterende sikkerhedsforanstaltninger og udarbejd en handlingsplan for at forbedre risikodækningen. Udpeg en ansvarlig person til implementeringen.
Overvej risiciene for alle de værktøjer, du bruger, herunder de risici, der er forbundet med SaaS-løsninger (Software as a Service) og samarbejdsværktøjer i skyen (såsom Slack, Trello, GitHub osv.).
Sikr dine servere og arbejdsstationer på en ensartet og reproducerbar måde
Lister med anbefalinger vedrørende sikkerhed for servere, arbejdsstationer og interne netværk findes i ark nr. 5 til 8 i CNIL’s vejledning om sikkerhed af persondata.
Udarbejd et dokument, der beskriver disse foranstaltninger og deres konfiguration, så sikkerhedsforanstaltningerne implementeres ensartet på servere og arbejdsstationer. For at reducere arbejdsbyrden kan værktøjer til konfigurationsstyring, såsom Ansible, Puppet eller Chef, anvendes.
Opdater servere og arbejdsstationer, helst automatisk. Du kan opsætte en overvågning af de vigtigste sårbarheder, for eksempel ved at følge NVD Data Feeds.
Læg særlig vægt på adgangsstyring og sporbarhed af handlinger
Husk at dokumentere håndteringen af dine SSH-nøgler (brug af moderne kryptering og nøglelængde-algoritmer, beskyttelse af private nøgler med en adgangsfrase, regelmæssig nøgleudskiftning). Se dokumentet om sikker brug af (open)SSH for eksempler på bedste praksis.
Opfordr til stærk autentifikation for de tjenester, som udviklingsteamet anvender.
Log adgang til dine systemer og implementér, hvis muligt, automatisk loganalyse. For at sikre pålidelige logfiler bør brug af generiske konti undgås.