보안 위험 완화 | Mendix

메인 컨텐츠로 가기

사이트 검색

영업팀에 문의
무료로 체험하기
인쇄

보안 위험 완화

거버넌스는 위험 허용 범위에 따라 허용 가능한 위험으로 가치를 최적화하는 것입니다. 보안 위험은 다음 범주 중 하나입니다. Mendix 거버넌스 가치 프레임워크. 보안 위험 완화는 귀하의 환경에 알려진 취약점이 없고 소프트웨어를 최신 상태로 유지하기 위한 정책을 준수하는 것을 보장하는 것입니다.

중요한 보안 문제에 대한 알림을 받는 기본 연락처는 누구입니까?

보안 연락처를 지정할 수 있습니다. Mendix 플랫폼 제어 센터제어 센터는 앱 환경을 관리하고 통제하는 데 도움이 되는 핵심적인 도구입니다. Mendix 관리자는 제어 센터에 액세스할 수 있습니다. 중요한 보안 문제가 있는 경우 알려주는 특정 보안 연락처를 제공할 수 있습니다. Mendix 플랫폼 및 플랫폼 지원 Marketplace 구성 요소. Mendix 개인 이메일 주소 대신 팀 이메일 주소나 기능적인 사서함을 사용하는 것을 강력히 권장합니다.

앱 환경 전반에서 플랫폼 사용자 활동을 어떻게 감사할 수 있나요?

제어 센터의 보안 페이지에서 보안 기록 탭은 회사 내 프로젝트 및 멤버 계정에서 이루어진 보안 관련 변경 사항에 대한 감사 추적을 제공합니다. 이는 플랫폼 내 검색 및 필터로 쉽게 감사하거나 Excel로 내보낼 수 있습니다.

앱의 들어오고 나가는 트래픽을 모니터링하여 보안을 보장하려면 어떻게 해야 하나요?

첫째, Mendix 악성 인터넷 트래픽을 보호합니다. Mendix 웹 애플리케이션 방화벽(WAF) 규칙을 통해 앱을 바로 사용할 수 있습니다. WAF는 애플리케이션 코드를 수정하지 않고도 악성 및 원치 않는 인터넷 트래픽으로부터 애플리케이션을 보호하는 보안 서비스입니다. WAF는 OWASP 간행물에 설명된 많은 고위험 및 일반적으로 발생하는 취약성을 포함한 다양한 공격 범주를 처리합니다. OWASP 탑 10.

상기 이외에도, Mendix 애플리케이션 및 액세스에 대한 포괄적인 로깅을 제공합니다. 후자는 앱에 액세스하는 위치를 확인하는 데 사용할 수 있습니다. 이러한 자세한 로그는 다음을 통해 액세스할 수 있습니다. Mendix 문.

플랫폼에 대한 API 액세스에는 어떤 보안이 제공됩니까?

Mendix 다양한 API를 제공하여 대중에게 접근할 수 있습니다. Mendix 플랫폼. 이러한 API는 다음 중 하나로 보안됩니다. API 키 또는 개인 액세스 토큰(PAT). 두 메커니즘 모두 CI/CD 파이프라인과 같은 클라이언트가 토큰을 생성한 플랫폼 사용자를 대신하여 플랫폼 API를 사용할 수 있도록 하여 사용자의 권한 제한을 적용합니다.

PAT가 API 키에 비해 유리한 점은 플랫폼 사용자가 PAT를 만드는 동안 소위 '범위'를 선택하여 특정 API에 대한 위임된 액세스 범위를 제한할 수 있다는 것입니다. API 키와 PAT는 이를 만든 사용자가 비활성화된 경우 더 이상 사용할 수 없으므로 Joiners/Movers/Leavers 프로세스에 대한 '액세스 제거 시간'을 짧게 하는 목적에 도움이 됩니다.

추가 정보는 다음에서 찾을 수 있습니다. 보안 이 평가 가이드의 섹션입니다.

보안 권고 사항은 어떻게 생성되고 게시됩니까? Mendix?

Mendix 발행 보안 권고 on Mendix-소유한 구성 요소를 활용하여 Siemens 제품인증보안 문제에 대한 접수, 조사, 내부 조정 및 공개 보고를 관리하는 전담 보안 전문가 팀입니다. Siemens 제품, 솔루션, 서비스.

Mendix Studio Pro 릴리스 노트에 설명된 보안 취약점에 대한 CVSS 점수와 CVSS 벡터를 추가합니다. Mendix 또한 추가 Mendix-특정 CVE ID는 제공될 때 제공됩니다. 보안 권고 사항은 설명서, 구독 RSS 피드, NVD와 같은 취약성 데이터베이스에서 제공됩니다.

앱 환경 전체에서 보안 취약성의 영향을 어떻게 평가할 수 있습니까?

Log4j와 유사 심각한 보안 취약점이 발생할 수 있습니다. 애플리케이션 환경 전반의 소프트웨어 구성 가시성을 통해 취약한 구성 요소를 사용하는 애플리케이션 환경을 파악하고 영향 범위를 쉽게 평가할 수 있습니다. 영향을 받은 애플리케이션의 기술 담당자에게 알림을 보내고 취약점을 해결하도록 요청할 수 있습니다. 관리자는 모든 애플리케이션이 필요한 해결 또는 업그레이드를 수행할 때까지 구성 요소의 사용을 계속 모니터링할 수 있습니다.

타사 정적 애플리케이션 보안 테스트(SAST) 도구를 사용하여 스캔할 수 있습니까? Mendix 앱?

Mendix 정적 애플리케이션 보안 테스트 목적으로 품질 및 보안 관리(QSM)를 제공합니다. QSM은 애플리케이션의 오픈 소스 상태에 대한 포괄적인 보기를 제공합니다. Mendix 또한 SAST 스캐닝 목적으로 특정 타사 도구를 사용할 수도 있습니다. 오늘날 고객은 Snyk, VeraCode, SonarCube와 같은 도구를 사용하여 SAST를 수행합니다.

언어를 선택하세요