Dôležitosť vysokých bezpečnostných štandardov softvérových produktov a ich zdrojových kódov v procesoch verejného obstarávania stále rastie. Je veľmi dôležité zabezpečiť, aby všetok softvér dodávaný v dôsledku procesu verejného obstarávania spĺňal vysoké štandardy v bezpečnosti aplikácií. Softvér vo verejnom sektore má trvale vysoké požiadavky na dôvernosť, integritu a dostupnosť. Spoločnosť Checkmarx má dlhoročné skúsenosti s poskytovaním metodík a osvedčených postupov pre bezpečný vývoj, ako aj s technickým riešením na kontrolu bezpečnosti zdrojového kódu a komponentov otvoreného zdroja, ktoré sú súčasťou softvérového produktu poskytovaného v rámci procesu verejného obstarávania. Dva kľúčové aspekty sú (1) vyhodnotenie vyspelosti procesu vývoja zabezpečeného softvéru dodávateľa a  ako môže dodávateľ poskytnúť dôkazy o tom, že jeho proces vývoja softvéru dodržiava v procese vývoja vysoké štandardy zabezpečenia, a ďalej (2) to, že dodávatelia poskytujú dokumentáciu výsledkov technických riešení / nástrojov používaných na overenie bezpečnosti softvéru a jeho zdrojového kódu. V tejto prednáške uvediem úvod k osvedčeným postupom, ktoré treba dodržiavať a náš navrhovaný prístup  vyplývajúci z dlhoročných skúseností s bezpečnosťou aplikácií.

Videozáznam
 

Diskusia pozvaných hostí:
Andrej Bederka, Digitálna Koalícia
Huth Carsten, Checkmarx
Peter Kampa, SOFTEC
Richard Kiškovač, MIRRI
predstaviteľ spoločnosti, SEVITECH
Martin Sulík, NASES

Videozáznam
 

V dobe všadeprítomného prístupu na internet a širokého používania zariadení inteligentných telefónov občania očakávajú, že verejný sektor spĺňa požiadavky ľahšieho, rýchlejšieho a flexibilnejšieho prístupu k službám. To vytvára aj nové výzvy pre informačnú bezpečnosť vo verejnom sektore: Pretože občania, pacienti, daňoví poplatníci, používatelia vozidiel atď. očakávajú, že budú mať prístup k službám pohodlným spôsobom online, je potrebné integrovať a kombinovať údaje z rôznych zdrojov a prístup k dôverným informáciám musí byť vysoko bezpečný. Výzvou je podpora tejto digitálnej transformácie bez toho, aby bola ohrozená dôvera a bezpečnosť spotrebiteľa služieb.

Podkladový softvér používaný v tomto prostredí musí byť zostavený pre cloudovú natívnu technológiu a musí byť od základu zabezpečený. Softvér v scenároch SaaS musí byť zostavený tak, aby sa mohol často nasadiť, a pozostáva z mikroslužieb, ktoré sú spoločne usporiadané tak, aby poskytovali skúsenosti koncových používateľov očakávané zákazníkom služieb (na všetkých úrovniach verejného sektora, od miestnych služieb až po národnú správu). To je miesto, kde bezpečnosť aplikácií vytvára základ pre hľadanie slabých miest v ranom životnom cykle vývoja softvéru, ako je prevencia porušovania hraníc dôvery, kontrola zabezpečenia API (na zabezpečenie vzájomnej interakcie mikroslužieb) a kontrola známych chýb v komponentoch otvoreného zdroja. Všetky tieto kontroly sú potrebné tak v dodávateľskom reťazci softvéru, ako aj v individuálnych prispôsobeniach softvérových produktov poskytovaných väčšími dodávateľmi. Checkmarx poskytuje riešenia pre veľkých dodávateľov, ako aj pre miestne prispôsobenia vyvinuté nad týmito produktmi.

Videozáznam