أمن تطوير البرمجيات هو مصطلح عام يتمثل في إنشاء مجموعة من الاستراتيجيات التي تعمل بالتوافق والانسجام من أجل المساهمة في حماية البيانات الرقمية. الهدف من أمن البرمجيات هو ضمان سرية وتوافر وتمامية أصول المعلومات المتداولة بواسطة خدمات التطبيقات.
إن إدماج أمن التطبيقات ابتداء من مرحلة التصميم وطوال دورة حياة التطبيق يعتبر ضرورة حتمية . من خلال اتباع هذا النهج يمكن للمطورين الجزم بأن البرامج المُصممة تحترم أفضل ممارسات أمن نظم المعلومات. يعتبر تطبيق التدابير الأمنية بعد استعمال البرنامج أعلى تكلفة بكثير ولا يوفر عمومًا سوى حماية محدودة في مقابل الأمن المدمج منذ بداية التصميم. في سياق العمل المنجز سنة 2021 المتصل بممارسات أمن التطبيقات، تود المديرية العامة لأمن نظم المعلومات تعزيز الترتيبات المتاحة للإدارات والمؤسسات العمومية وكذا البنيات التحتية ذات الأهمية الحيوية العامة والخاصة لتمكينهم من القيام بإجراء الاختبارات الموصى بها خلال دورة التطوير وفقا لسياسات ومعايير تطوير البرامج المؤمنة المعمول بها.
وبهذا الصدد أعدت المديرية العامة لأمن نظم المعلومات معيارا لتقييم أمن التطبيقات يتضمن مجموعة من المتطلبات والاختبارات. استناداً إلى النسخة ASVS 4.0.3 التي نُشرت في أكتوبر 2021 من طرف مشروع أمان تطبيق الويب المفتوح (OWASP) ، يمكن أن يستخدم هذا المعيار لأغراض مختلفة ولا سيما لتحديد وبناء واختبار والتحقق من سلامة التطبيقات. ويعتمد هذا المعيار على مجموعة من المتطلبات والضوابط الأمنية التي تستند على الاختبارات الوظيفية وغير الوظيفية الوا جب تطبيقها أثناء تصميم وتطوير واختبار التطبيقات. كما ينطبق على جميع نماذج تطوير البرمجيات ويهدف إلى تحقيق هدفين رئيسيين هما:
علاوة على ذلك، تم اختيار ثلاثة مستويات للفحص الأمني اذ يمثل المستوى الثالث أعلى مستوى من الضمان:
استناداً إلى تحليل المخاطر ومتطلبات العمل يجب على كل هيئة أن تحدد المستوى المناسب لها. بالإضافة إلى ذلك، من أجل إدارة قضايا السلامة بفعالية هناك حاجة ماسة لدمج التفكير في السلامة خلال جميع مراحل ال تطوير. هذا يقلل من خطر تجاهل المقتضيات الأمنية التي قد تكون مهمة من جهة، ومن ناحية أخرى لتجنب ارتكاب أخطاء فادحة في تصميم البرامج.
DGSSI2024 All rights reserved
