보안 개발 수명 주기
어떻게 Mendix 소프트웨어 개발에서 안전한 변경 프로세스를 관리하나요?
Mendix 모든 팀에 걸쳐 보안 개발 수명 주기(SDL)를 적용합니다. Mendix 플랫폼, Mendix 클라우드 및 지원 애플리케이션. 이 프로세스를 통해 계획 단계부터 출시 후 운영 단계까지 보안, 법률 및 품질 고려 사항이 반영되도록 보장합니다.
어떤 안전한 개발 관행이 시행되고 있나요?
전부의 Mendix 개발자들은 일반적인 취약점을 예방하고 민감한 데이터를 적절하게 처리하기 위해 보안 코딩에 대한 정기적인 교육을 받습니다. 법률 또는 보안 관련 문제(예: 데이터 개인정보 보호 또는 오픈소스 라이선스)가 발생하면 R&D 팀은 다음과 협의합니다. Mendix보안 또는 법무 부서. 아웃소싱 개발팀은 내부 팀과 동일한 표준 및 규정 준수 요건을 준수해야 합니다.
보안을 염두에 두고 제품 포트폴리오를 어떻게 관리합니까?
제품 포트폴리오는 최고제품책임자(CPO), 제품관리위원회, 그리고 관련 제품 관리자들이 검토하고 동기화합니다. 보안 및 데이터 개인정보 보호 요건은 제품 비전 및 계획 단계에서 파악 및 해결됩니다. 내부 IT 지원 앱은 IT 프로그램위원회에서 별도로 관리합니다.
소스 코드는 어떻게 안전하게 관리되고 제어됩니까?
소스 코드에 대한 액세스는 개발자와 엔지니어에게만 제한되며 다음을 통해서만 액세스할 수 있습니다. Mendix VPN 및 SSO 인증을 통해 저장소에 대한 액세스 제어는 개발팀에서 관리하며, CTO는 RnD에서 발급한 소스 코드 액세스에 대한 최종 책임자이고 CIO는 IT에서 발급한 소스 코드 액세스에 대한 최종 책임자입니다.
동료 평가와 코드 품질은 어떻게 보장됩니까?
모든 중요한 코드 변경은 4-eyes 원칙 또는 페어 프로그래밍을 통해 동료 검토를 거칩니다. 이를 통해 안전한 코딩 표준을 준수하고 무단 변경을 방지할 수 있습니다. 개발자는 일방적으로 업데이트를 프로덕션 환경에 적용할 수 없으므로, 적절한 업무 분리가 이루어집니다.
어떤 변경 관리 통제가 시행됩니까?
각 변경 사항에는 문서화된 스토리, 위험 평가, 롤백 계획, 동료 검토, 테스트 및 경영진 승인이 필요합니다. 이러한 통제는 개발 프로세스에 내장되어 있으며 감사자가 분기별로 검토합니다. Mendix 또한 소프트웨어 구성 분석을 위한 Snyk와 정적 애플리케이션 보안 테스트를 위한 Veracode 등 자동화된 보안 검사를 통합합니다.
테스트 데이터는 어떻게 안전하게 처리되나요?
Mendix 테스트 환경이 논리적으로 격리되고 기밀 또는 민감한 데이터가 없도록 보장합니다. 페르소나는 테스트 중에 사용자를 시뮬레이션하며, 모든 테스트 데이터는 출시 전에 삭제됩니다. 테스트 문서는 추적성 및 고객 서비스 지원을 위해 1년간 보관됩니다.
제품 출시에는 어떤 절차가 적용되나요?
릴리스 준비에는 포괄적인 테스트, 위험 평가, 그리고 버전 관리 및 롤백 전략을 포함한 문서화가 포함됩니다. 모든 릴리스는 담당 관리자의 공식 승인을 받아야 합니다. 승인이 없으면 릴리스가 차단됩니다. 코드 검토 도구는 배포 전에 오픈소스 라이선스 준수 여부를 검증합니다.
출시 후 문제가 발생하는 경우 롤백 또는 롤포워드 전략은 무엇입니까?
Mendix 출시 후 중요한 문제를 해결할 때는 "롤포워드" 방식을 우선시합니다. 즉, 감사 추적을 유지하면서 수정 사항을 포함하는 새 버전으로 이전합니다. 롤백이 필요한 경우, 실행 전에 데이터 무결성 및 백업 계획을 신중하게 평가합니다.
출시 후 보안은 어떻게 유지되나요?
배포되면 Mendix 제품은 자동화 도구, 외부 테스트 파트너, 그리고 공개 버그 바운티 프로그램을 통해 지속적으로 취약점을 테스트합니다. 이러한 지속적인 평가를 통해 제품 수명 주기 전반에 걸쳐 강력한 보안 태세를 유지할 수 있습니다.
제품의 수명이 다하면 어떻게 되나요?
때 Mendix 제품이 단계적으로 단종되면 관련 법률 및 규정을 준수하여 데이터가 안전하게 삭제됩니다. 정보 보안 및 개인정보 보호 부서는 법률 및 규정 준수를 보장하기 위해 이 프로세스를 감독합니다.
자세한 내용은 다음 링크를 참조하세요 컨베이어.