Atténuer les risques de sécurité | Mendix

Passer au contenu principal

Recherche du site

Contactez-nous
Essayer gratuitement
Impressions hors ligne

Atténuer les risques de sécurité

La gouvernance consiste à optimiser la valeur avec un risque acceptable en fonction de votre tolérance au risque. Le risque de sécurité est l'une des catégories de Mendix Cadre de valeur de gouvernance. L'atténuation des risques de sécurité consiste à garantir que votre environnement ne contient pas de vulnérabilités connues et respecte les politiques visant à maintenir votre logiciel à jour.

Qui est le point de contact par défaut pour être informé de tout problème de sécurité critique ?

Vous pouvez attribuer un contact de sécurité pour le Mendix plate-forme dans Control CenterLe Centre de contrôle est l'outil principal qui permet de gérer et de gouverner un paysage d'applications. Mendix Les administrateurs ont accès au centre de contrôle. Ils peuvent fournir un contact de sécurité spécifique qui est informé en cas de problèmes de sécurité critiques avec le Mendix plateforme et composants Marketplace pris en charge par la plateforme. Mendix il est fortement recommandé d'utiliser une adresse e-mail d'équipe ou une boîte aux lettres fonctionnelle plutôt qu'une adresse e-mail individuelle personnelle.

Comment l’activité des utilisateurs de la plateforme peut-elle être auditée dans l’ensemble du paysage applicatif ?

Sous la page Sécurité du Centre de contrôle, l'onglet Historique de sécurité fournit une piste d'audit des modifications liées à la sécurité apportées aux projets et aux comptes membres de votre entreprise. Ces modifications peuvent être facilement vérifiées à l'aide de recherches et de filtres intégrés à la plateforme ou exportées dans Excel.

Comment surveiller le trafic entrant et sortant de mes applications pour garantir leur sécurité ?

Tout d'abord, Mendix protège le trafic Internet malveillant Mendix applications prêtes à l'emploi via les règles du pare-feu d'application Web (WAF). Le WAF est un service de sécurité qui protège les applications contre le trafic Internet malveillant et indésirable sans modifier le code de votre application. Le WAF traite diverses catégories d'attaques, notamment de nombreuses vulnérabilités à haut risque et courantes décrites dans les publications de l'OWASP telles que OWASP Top 10.

En plus de ce qui précède, Mendix fournit une journalisation complète des applications et des accès. Ce dernier peut être utilisé pour déterminer d'où les applications sont accessibles. Vous pouvez accéder à ces journaux détaillés via le Mendix Portail.

Quelle sécurité est assurée sur l'accès API à la plateforme ?

Mendix vous fournit diverses API pour accéder au public Mendix plateforme. Ces API sont sécurisées soit par Clés API ou jetons d'accès personnels (PAT). Les deux mécanismes permettent aux clients tels qu'un pipeline CI/CD de consommer les API de la plateforme au nom de l'utilisateur de la plateforme qui a créé le jeton, en appliquant les restrictions de privilèges de l'utilisateur.

L'avantage du PAT par rapport aux clés API est que l'utilisateur de la plateforme peut restreindre la portée de l'accès délégué à des API spécifiques, en sélectionnant ce que l'on appelle des « portées » lors de la création du PAT. Les clés API et les PAT ne peuvent plus être utilisés si l'utilisateur qui les a créés a été désactivé, ce qui contribue à votre objectif d'avoir un « temps de suppression d'accès » court pour votre processus Joiners/Movers/Leavers.

Vous trouverez de plus amples informations dans le Sécurité section de ce guide d’évaluation.

Comment les avis de sécurité sont-ils générés et publiés par Mendix?

Mendix publie avis de sécurité on Mendix- composants appartenant à des propriétaires en tirant parti Siemens ProduitCERT, qui est une équipe dédiée d'experts en sécurité qui gère la réception, l'enquête, la coordination interne et le signalement public des problèmes de sécurité liés à Siemens produits, solutions et services.

Mendix ajoute le score CVSS et le vecteur CVSS pour les vulnérabilités de sécurité décrites dans les notes de version de Studio Pro. Mendix ajoute également le Mendix-les identifiants CVE spécifiques dès qu'ils seront disponibles. Les avis de sécurité sont disponibles dans la documentation, via un flux RSS par abonnement ainsi que sur des bases de données de vulnérabilités telles que NVD.

Comment évaluer l’impact des vulnérabilités de sécurité sur l’ensemble du paysage applicatif ?

Similaire à Log4j Des vulnérabilités de sécurité critiques peuvent survenir. Grâce à la visibilité de la composition logicielle sur l'ensemble du paysage applicatif, vous pouvez identifier les environnements applicatifs à l'aide d'un composant vulnérable et ainsi évaluer facilement l'impact. Les contacts techniques de l'application concernée peuvent être informés et invités à corriger la vulnérabilité. Parallèlement, les administrateurs peuvent continuer à surveiller l'utilisation du composant jusqu'à ce que toutes les applications effectuent la correction ou la mise à niveau nécessaire.

Puis-je utiliser des outils de test de sécurité statique des applications (SAST) tiers pour analyser Mendix applications?

Mendix fournit une gestion de la qualité et de la sécurité (QSM) prête à l'emploi à des fins de test de sécurité des applications statiques. QSM fournit une vue complète de l'état de santé Open Source d'une application. Mendix vous permet également d'utiliser des outils tiers spécifiques à des fins d'analyse SAST ; les clients d'aujourd'hui effectuent également des SAST via des outils tels que Snyk, VeraCode et SonarCube.

Choisissez votre langue