这类软件产品所需的最低安全标准是什么？

Question

安全标准(如ISO 27002、process、HIPAA、公共标准)中描述的操作因其存储、处理、传输和报告的域数据而有很大差异。

我们有一个产品，收集从网络/无线网络启用的发光(照明设备)的度量，并为趋势分析或能源效率计算的分析数据。产品需要达到的最低安全标准是什么？它有一个设备发现模块、数据聚合和一个托管在云中的报表web应用程序，数据从企业转移到云平台。

我正在考虑至少OWASP 10，但它不是标准的，而是安全控制的指导方针的web应用程序。

Answer 1

产品需要达到的最低安全标准是什么？

这在很大程度上取决于您正在努力满足的采购要求。对于美国联邦政府，名单上的最低限度是FIPS 140-2认证你的密码模块。对于DoD，有JITC认证。对于国安局和诸如此类，你有NIAP和共同标准。不过，我不认为你想这么做。

相反，我认为您正在尝试建立一个基准，以保证您的产品的安全。为此，我建议您定期修补您使用的每一个第三方库(例如OpenSSL)，然后运行一个漏洞扫描程序(如Nessus )，并使用适用于您的语言的静态代码分析工具(如Coverity )进行跟踪。如果将这种方法集成到QA过程中，它将使您获得“最低限度的安全性”。