降低安全风险
治理就是根据您的风险承受能力,以可接受的风险优化价值。安全风险是 Mendix 治理价值框架。降低安全风险是为了确保您的环境不包含已知漏洞,并遵守政策以使您的软件保持最新状态。
谁是接收任何重大安全问题通知的默认联系人?
您可以为 Mendix 平台 控制中心。控制中心是帮助管理和控制应用程序环境的关键总体工具。 Mendix 管理员有权访问控制中心。他们可以指定特定的安全联系人,以通知该联系人是否存在严重的安全问题 Mendix 平台和平台支持的 Marketplace 组件。 Mendix 强烈建议使用团队邮箱或者功能邮箱,而不是个人邮箱。
如何审核整个应用程序范围内的平台用户活动?
在控制中心的“安全”页面下,“安全历史记录”选项卡提供了贵公司项目和成员帐户中与安全相关的更改的审计跟踪。您可以使用平台内搜索和过滤器轻松审计这些更改,也可以将其导出到 Excel 中。
如何监控我的应用程序的传入和传出流量以确保它们的安全?
首先, Mendix 保护恶意互联网流量 Mendix 通过 Web 应用程序防火墙 (WAF) 规则,您可以立即使用 Web 应用程序防火墙 (WAF) 规则来保护应用程序。WAF 是一种安全服务,可保护应用程序免受恶意和不必要的互联网流量的侵害,而无需修改应用程序代码。WAF 可解决各种攻击类别,包括 OWASP 出版物中描述的许多高风险和常见漏洞,例如 OWASP顶级10.
除了上述之外, Mendix 提供全面的应用程序和访问日志记录。后者可用于确定应用程序的访问位置。您可以通过 Mendix 门户。
平台的 API 访问提供什么样的安全性?
Mendix 为您提供各种 API 来访问公共 Mendix 平台。这些 API 受到以下任一保护: API 密钥或个人访问令牌 (PAT). 这两种机制都允许客户端(例如 CI/CD 管道)代表创建令牌的平台用户使用平台 API,并应用用户的权限限制。
PAT 相对于 API 密钥的优势在于,平台用户可以通过在创建 PAT 期间选择所谓的“范围”来限制对特定 API 的委托访问范围。如果创建 API 密钥和 PAT 的用户已被停用,则无法再使用它们,这有助于实现您的目标,即缩短加入者/迁移者/离开者流程的“访问删除时间”。
更多信息可以在 安全性 本评估指南的部分。
安全公告是如何生成和发布的 Mendix?
Mendix 出版 安全公告 on Mendix通过利用 Siemens 产品CERT,这是一支专门的安全专家团队,负责管理与以下方面相关的安全问题的接收、调查、内部协调和公开报告: Siemens 产品、解决方案和服务。
Mendix 添加了 Studio Pro 发行说明中描述的安全漏洞的 CVSS 分数和 CVSS 向量。 Mendix 还添加了 Mendix- 特定 CVE ID 可用时。安全公告可在文档中、通过订阅 RSS 源以及漏洞数据库(如 NVD)获取。
如何评估安全漏洞对整个应用程序环境的影响?
类似Log4j 可能发生严重的安全漏洞。借助整个应用程序环境中的软件组合可见性,您可以确定使用易受攻击组件的应用程序环境,以帮助您轻松评估影响半径。受影响的应用程序的技术联系人可以收到通知并被要求修复漏洞。同时,管理员可以继续监控组件的使用情况,直到所有应用程序都进行了必要的修复或升级。
我可以使用第三方静态应用程序安全测试 (SAST) 工具来扫描 Mendix 应用?
Mendix 提供开箱即用的质量和安全管理 (QSM),用于静态应用程序安全测试。QSM 可全面了解应用程序的开源健康状况。 Mendix 还允许您使用特定的第三方工具进行 SAST 扫描目的;如今的客户还可以通过 Snyk、VeraCode 和 SonarCube 等工具执行 SAST。