it-swarm-es.com

Protección de la pérdida de datos en artefactos de software.

La protección de la pérdida de datos es una preocupación importante para todas las industrias. El proceso de ingeniería de software implica múltiples puntos para la pérdida de datos potencial, ya que varias partes están involucradas que no sean el equipo del cliente y desarrollo de software. La lista puede incluir agencias de pruebas externas, otros proveedores de software, agencias de consultoría, etc. del documento de análisis de requisitos al código fuente y más allá, todos los artefactos del software contienen información que el cliente puede considerar sensible.

Ha habido esfuerzos considerables para proteger los datos generados por la aplicación utilizando K-anonimato, la diversidad de L. Un resumen rápido es aquí

Pero cuáles son las opciones/mejores prácticas/herramientas disponibles para proteger la información confidencial que se sientan en los artefactos de software (por ejemplo, documentos de análisis, código fuente, documentación, etc.) en ¿Un formato bastante no estructurado? (Por supuesto, excepto NDA y buena fe ...)

5
Tathagata

Recientemente he blogueado cómo trato con el código fuente de mi cliente . Esencialmente: Control de versiones para auditoría, cifrado para, bueno, cifrado. Los artefactos compilados se almacenan en los mismos sistemas de archivos encriptados, y si tienen que ir a otros dispositivos, están encriptados allí donde están disponibles y se eliminan tan pronto como no están en uso.

Una historia similar es cierta para los documentos: trabajo en modelos de amenaza para algunos clientes, y se manejan prácticamente de la misma manera descritos anteriormente.

Supongo que lo que estoy diciendo es que realmente no hay nada intrínseco para las herramientas de ingeniería de software para detener las fugas de datos, aunque, por supuesto, una buena instalación de SCM puede limitar y hacer un seguimiento de quién accede a los datos confidenciales, pero una vez que se le revise. tu propio. Algunos de los software DLP se pueden configurar para tratar los archivos de código fuente tan confidenciales, lo que puede valer la pena revisar. Pero si está trabajando con consultores o subcontratistas, entonces tiene un contrato con ellos y cualquier nivel de detección/cumplimiento es mutuamente aceptable en los términos del contrato.

3
user185