メインコンテンツへスキップ

セキュリティリスクを軽減

サイト内検索

営業担当者へ連絡
無料でお試し
印刷物

セキュリティリスクを軽減

ガバナンスとは、リスク許容度に応じて許容できるリスクで価値を最適化することです。セキュリティリスクは、 Mendix ガバナンス価値フレームワーク。セキュリティ リスクの軽減とは、ランドスケープに既知の脆弱性が含まれないようにし、ソフトウェアを最新の状態に保つためのポリシーを遵守することです。

重大なセキュリティ問題について通知を受けるデフォルトの連絡先は誰ですか?

セキュリティ担当者を割り当てることができます。 Mendix プラットフォームイン コントロールセンターコントロール センターは、アプリ環境の管理と統制に役立つ主要な包括的ツールです。 Mendix 管理者はコントロールセンターにアクセスできます。管理者は、システムで重大なセキュリティ問題が発生した場合に通知される特定のセキュリティ連絡先を提供できます。 Mendix プラットフォームおよびプラットフォームでサポートされている Marketplace コンポーネント。 Mendix 個人の電子メール アドレスではなく、チームの電子メール アドレスまたは機能メールボックスを適用することを強くお勧めします。

アプリ全体でプラットフォームのユーザーアクティビティを監査するにはどうすればよいでしょうか?

コントロール センターの [セキュリティ] ページの [セキュリティ履歴] タブには、社内のプロジェクトやメンバー アカウントで行われたセキュリティ関連の変更の監査証跡が表示されます。これらは、プラットフォーム内の検索やフィルターを使用して簡単に監査したり、Excel にエクスポートしたりできます。

アプリの受信トラフィックと送信トラフィックを監視して、安全性を確認するにはどうすればよいですか?

まず、 Mendix 悪意のあるインターネットトラフィックを保護し、 Mendix Webアプリケーションファイアウォール(WAF)ルールを介して、すぐにアプリケーションを保護できます。WAFは、アプリケーションコードを変更することなく、悪意のある不要なインターネットトラフィックからアプリケーションを保護するセキュリティサービスです。WAFは、OWASPの出版物に記載されている多くの高リスクで一般的な脆弱性を含むさまざまな攻撃カテゴリに対処します。 OWASPトップ10.

上記に加えて、 Mendix アプリケーションとアクセスの包括的なログを提供します。後者は、アプリがどこからアクセスされたかを判断するために使用できます。これらの詳細なログには、 Mendix ポータル。

プラットフォームへの API アクセスにはどのようなセキュリティが提供されますか?

Mendix パブリックにアクセスするためのさまざまなAPIを提供します Mendix プラットフォーム。これらのAPIは、 API キーまたは個人アクセス トークン (PAT)どちらのメカニズムでも、CI/CD パイプラインなどのクライアントは、トークンを作成したプラットフォーム ユーザーに代わってプラットフォーム API を使用し、ユーザーの権限制限を適用できます。

API キーに対する PAT の利点は、プラットフォーム ユーザーが PAT の作成時にいわゆる「スコープ」を選択することで、特定の API への委任アクセスの範囲を制限できることです。API キーと PAT は、作成したユーザーが非アクティブ化されると使用できなくなります。これにより、Joiners/Movers/Leavers プロセスの「アクセス削除時間」を短縮するという目的が達成されます。

詳細については、 セキュリティ この評価ガイドのセクションを参照してください。

セキュリティアドバイザリはどのようにして作成され、公開されるのか Mendix?

Mendix 公開する セキュリティ勧告 on Mendix所有コンポーネントを活用して Siemens 製品CERTは、セキュリティ専門家の専門チームであり、セキュリティ問題の受領、調査、内部調整、および公開報告を管理しています。 Siemens 製品、ソリューション、サービス。

Mendix Studio Pro リリース ノートに記載されているセキュリティ脆弱性の CVSS スコアと CVSS ベクトルを追加します。 Mendix また、 Mendix利用可能になった時点で、固有の CVE ID が提供されます。セキュリティ アドバイザリは、ドキュメント、サブスクリプション RSS フィード、および NVD などの脆弱性データベースで入手できます。

アプリ全体にわたってセキュリティ脆弱性の影響をどのように評価できるでしょうか?

Log4jのような 重大なセキュリティ脆弱性が発生する可能性があります。アプリケーション ランドスケープ全体にわたるソフトウェア コンポジションの可視性により、脆弱なコンポーネントを使用しているアプリケーション環境を特定し、影響範囲を簡単に評価できます。影響を受けるアプリケーションの技術担当者に通知し、脆弱性を修正するよう依頼できます。その間、管理者はすべてのアプリケーションで必要な修正やアップグレードが行われるまで、コンポーネントの使用状況を監視できます。

サードパーティの静的アプリケーションセキュリティテスト(SAST)ツールを使用してスキャンできますか? Mendix アプリ?

Mendix 静的アプリケーション セキュリティ テストの目的で、すぐに使用できる品質およびセキュリティ管理 (QSM) を提供します。QSM は、アプリケーションのオープン ソースの健全性に関する包括的なビューを提供します。 Mendix また、SAST スキャンの目的で特定のサードパーティ ツールを使用することもできます。今日の顧客は、Snyk、VeraCode、SonarCube などのツールを使用して SAST を実行することもできます。

言語を選択してください