Le durcissement des environnements CI/CD (Continuous Integration/Continuous Delivery), souvent hébergés sur des environnements de Cloud public est vital compte tenu des impacts élevés an cas de compromission. Le référentielproposé par NSA/CISA peut aider à mettre en place des mesures efficaces pour les nombreuses entités qui travaillent en DevSecOps.
Le SSDF (Secure Development Framework)du NIST propose des bonnes pratiques pour mettre sous contrôle son cycle développement, à l’instar d’autres référentiels comme celui de SAFECode, de BSIMM, de SAMM de l’ISO 27034. Le contenu du référentiel est orienté sur l’organisation, les compétences et les outils à mettre en place, les protections contre les accès non autorisés aux composants, les pratiques de développant pour minimiser les vulnérabilités et les réponses en cas de détection de failles. Le référentiel répond à la section 4 du document fédéral signé par le Président des Etats-Unis sur l’amélioration de la Cybersécurité. Il répond aussi à l’augmentation des risques liés à la sous-traitance : voir à ce sujet l’ISO 27036et le SCRM.
Les vulnérabilités logicielles font partie des risques les plus élevés en cyber sécurité. Le référentiel BSIMM – Buiding Security in Maturity Modelest un outil intéressant pour comparer ses activités de sécurisation du cycle de développement avec les bonnes pratiques du domaine. Une étude annuelle, mise à jour depuis 2008 est menée auprès d’une centaine de grands groupes nord-américains. Cette enquête est suffisamment précise pour quantifier les activités. Le Secure SDLCfait partie du domaine 8 de la certification CISSP. Il est aussi abordé dans les certifications de sécurité Cloud. Cela rejoint aussi les bonnes pratiques C-SCRM en termes de sécurité de la sous-traitance et normes ISO 27034 sur la sécurisation des applications. D'autres référentiels comme SAMM, SAFEcode et SSDF sont régulièrement utilisés.