Welches sind die gängigen Konformitätsstandards für Softwareprodukte?

Question

Dies ist eine sehr allgemeine Frage zu Softwareprodukten. Ich würde gerne wissen, welche Konformitätsstandards auf jedes Softwareprodukt anwendbar sind.

Ich weiß, dass diese Frage nichts verrät. Hier ist also ein Beispiel dafür, worauf ich mich beziehe. CiSecurity Sicherheitszertifizierung/Konformität listet Produkte auf, die von ihr als konform mit den auf ihrer Website cisecurity.org veröffentlichten Normen zertifiziert wurden. Die Konformität kann so einfach sein wie die Beantwortung eines Fragebogens für Ihr Produkt und von einer dritten Partei wie cisecurity bestätigt werden, oder sie kann sich auf Ihr gesamtes Unternehmen beziehen, z. B. die PCI-DSS-Konformität.

Es würde mich sehr interessieren, welche Normen die Produkte, die Sie kennen/entworfen/erstellt haben, erfüllen. Um Ihnen den Kontext dieser Frage zu erläutern: Ich bin der Entwickler eines Tools zur Datenmaskierung. Das besagte Tool hilft bei der Maskierung von HTML-Text auf dem Bildschirm in einer Webanwendung für Banken, indem es Filter verwendet. Wenn die Bankanwendung beispielsweise Benutzerinformationen mit dem Benutzernamen auflistet, erkennt mein Produkt, wenn es in das Bankprodukt integriert ist, automatisch das Benutzernamenmuster und maskiert es in einem vordefinierten Format.mein Produktmarketingteam möchte also mehr Schlagworte wie Compliance, um es an mehr Bankkunden verkaufen zu können. Daher das Verständnis "Konformitäten, die für Produkte gelten " ist für mich derzeit ein wichtiger Forschungsgegenstand. Damit meinte ich die Einhaltung von Sicherheitsvorschriften.

Ich danke Ihnen für Ihre Hilfe und Ihre Vorschläge.

Answer 1

Ich glaube nicht, dass es ein spezielles Gremium gibt, das die Spezifikationen für Ihre Art von Software vorgibt. Die einzelnen Länder haben ihre eigenen Datenschutzgesetze, und wenn Sie in den USA leben, haben die einzelnen Bundesstaaten ihre eigenen Gesetze, wobei Kalifornien das strengste ist.

Es klingt, als ob Ihre Software verteilt wird. Wenn jemand eine Sicherheitslücke in Ihrer Software meldet (ja, das wird irgendwann passieren). Wenn der Fehler von einem Fachmann gemeldet wurde, hat er wahrscheinlich Mirte benutzt, das auf eine CWE-Nummer verweist (BugTraq ist ein Albtraum!). Nur sehr wenige Leute wissen, dass es akut hunderte von verschiedenen Arten von Sicherheitslücken gibt und 何れも Software ist anfällig für irgendetwas, auch wenn es nur eine Formalität ist. Wenn Sie glauben, dass Ihre Software zu 100 % sicher ist, dann sind Sie ein Narr oder Sie wurden von einem guten Verkäufer getäuscht.

Ich glaube, dass die CWE-200 Ihre Familie ist Ihnen am wichtigsten. Das wichtigste Mitglied dieser Familie ist CWE-213 die sich direkt auf die Beispielschwachstelle bezieht, die Sie zu patchen versuchen. CWE-549 ähnelt auch dem, wogegen Sie sich zu wehren versuchen. Wichtig ist, dass Sie sich die Beziehungen zwischen diesen CWEs ansehen, denn es gibt eine Reihe verwandter Schwachstellen, die auch Sie betreffen. Das Problem CWE-549 steht zum Beispiel in Zusammenhang mit Berechtigungsmanagement .

Answer 2

Wenn ich das richtig verstehe, müssen Sie herausfinden, WANN die fragliche Software in einer Branche eingesetzt wird, die bereits über Konformitätsstandards verfügt. Vanguard Configuration Manager zum Beispiel ist ein automatisierter Software-Scanner, der eine kontinuierliche Überwachung der Sicherheitskonfigurationseinstellungen von IBM System z ermöglicht. Die Software unterstützt die Implementierung und Nutzung der z/OS- und RACF-Konfigurationscheckliste des National Checklist Program (NCP) des National Institute of Standards and Technology (NIST) und des Department of Homeland Security (DHS).

Immer mehr Industriezweige und öffentliche Unternehmen müssen sich nun an diese Bundesstandards halten. Wenn Sie Kunden aus dem Bankensektor gewinnen möchten, müssen Sie wahrscheinlich eine ganze Reihe von Compliance-Vorschriften erfüllen, bevor Ihre Software vorgeführt wird.