Định nghĩa tiêu chuẩn bảo mật ứng dụng

Một bộ tiêu chuẩn bảo mật được định nghĩa cho ứng dụng trước khi phát triển, tối thiểu tuân thủ theo OWASP Top 10.

Triển khai chương trình bug bounty

Tổ chức duy trì một chương trình sẵn lỗi nhận tiền thưởng (bug bounty) cho các ứng dụng và hệ thống của mình.

Quét lỗ hổng bảo mật tự động

Ứng dụng cần được quét lỗ hổng bảo mật theo phương pháp black-box trước khi đưa lên môi trường production.

Mô hình hóa mối đe dọa

Mô hình hóa mối đe dọa bao gồm xây dựng luồn dữ liệu, phân tích rủi ro cho các tính năng/sản phẩm mới được thực hiện từ giai đoạn thiết kế sản phẩm.

Bảo mật mã nguồn mở

Các phần mềm mã nguồn mở được sử dụng trong hệ thống cần được kiểm tra bảo mật trước khi sử dụng.

Kiểm soát truy cập ứng dụng

Người dùng truy cập các tính năng chứa dữ liệu quan trọng được yêu cầu xác thực (không truy cập ẩn danh).

Giám sát hệ thống liên tục

Các ứng dụng và hệ thống công nghệ được giám sát liên tục, tự động để nhận biết các vấn đề phát sinh trong thời gian thực.

Triển khai pentest ứng dụng

Ứng dụng được pentest bởi các chuyên gia bảo mật có kinh nghiệm trước khi đưa lên môi trường production.

Kiểm tra bảo mật mã nguồn

Ứng dụng trước khi đưa lên môi trường production được kiểm tra mã nguồn để tránh chứa secret key và không bị các lỗ hổng bảo mật có nhận dạng đơn giản.

Quản lý mã nguồn

Mã nguồn cần được lưu trữ tập trung trong các kho lưu trữ mã nguồn như GitHub, Bitbucket hay GitLab