secure-development-2014

1. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
Page 1 of 11
‫שולחן‬ ‫מפגש‬ ‫סיכום‬
-
‫עגול‬
Secure Development
‫מידע‬ ‫מערכות‬ ‫של‬ ‫מאובטח‬ ‫פיתוח‬
:‫מנחים‬
‫רוסין‬ ‫סיגל‬
‫כ‬ ‫פיני‬
‫הן‬

2. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
Page 2 of 11
,‫שלום‬ ‫נכבדים‬ ‫לקוחות‬
‫עגול‬ ‫שולחן‬ ‫במפגש‬ ‫השתתפותכם‬ ‫על‬ ‫תודה‬
Round Table
‫בנושא‬
‫של‬ ‫מאובטח‬ ‫פיתוח‬
‫מידע‬ ‫מערכות‬
.
.‫המפגש‬ ‫במהלך‬ ‫שעלו‬ ‫הדברים‬ ‫עקרי‬ ‫סיכום‬ ‫מצ"ב‬
‫במפגש‬
‫שתומצתו‬ ‫מהותיים‬ ‫נושאים‬ ‫עלו‬
‫מתן‬ ‫אלא‬ ‫ללקוחות‬ ‫גורפת‬ ‫המלצה‬ ‫זה‬ ‫בסיכום‬ ‫אין‬ .‫שעלו‬ ‫כפי‬ ‫בסיכום‬
‫פרספקטיבה‬
‫של‬ ‫והצגה‬
."‫"מהשטח‬ ‫כלומר‬ ‫במפגש‬ ‫שעלו‬ ‫ההתלבטויות‬
‫בהקשר‬ ‫מידע‬ ‫מערכות‬ ‫פיתוח‬ ‫של‬ ‫בהקשר‬ ‫האידאלית‬ ‫המצב‬ ‫תמונת‬ ,‫בדיון‬ ‫הנאמר‬ ‫פי‬ ‫על‬
.‫ברורה‬ ‫הנה‬ ‫אבטחה‬
‫מנהל‬ ‫השתתפו‬ ‫בדיון‬
.‫פיתוח‬ ‫ומנהלי‬ ‫סיסטם‬ ‫מנהלי‬ ,‫מידע‬ ‫אבטחת‬ ‫י‬
‫גופי‬
‫הפרויקט‬ ‫של‬ ‫השלבים‬ ‫בכל‬ ‫מעורבים‬ ‫להיות‬ ‫צריכים‬ ‫המידע‬ ‫אבטחת‬
–
‫כולל‬ ‫הייזום‬ ‫משלב‬ ‫החל‬
‫הלא‬ ‫(בעיקר‬ ‫הבדיקות‬ ‫הפיתוח‬ ,‫הניתוח‬ ‫בשלבי‬ ‫בהמשך‬ ,‫התקציב‬ ‫ואישור‬ ‫העלויות‬ ‫הערכת‬
)‫פונקציונליות‬
,
‫ביצוע‬ ‫ולבסוף‬ ‫וידנית‬ ‫ממוכנת‬ ‫קוד‬ ‫סריקת‬ ‫כולל‬
PT
‫למצוי‬ ‫הרצוי‬ ‫בין‬ ‫אולם‬ .
‫גדול‬ ‫המרחק‬
-
‫שו"ש‬ ‫או‬ ‫קטנים‬ ‫בפרויקטים‬ ‫בייחוד‬
‫קריטי‬ ‫שרת‬ ‫עדכון‬ ,‫תוכנה‬ ‫גרסת‬ ‫עידכון‬ ‫(כגון‬
)‫ועוד‬ ‫בארגון‬
.
‫סדנת‬ ‫לקיים‬ ‫שהצליח‬ ‫מסר‬ ‫הארגונים‬ ‫אחד‬
‫ה‬ ‫עולם‬ ‫עם‬ ‫התמודדות‬
‫בכירים‬ ‫בהשתתפות‬ ‫סייבר‬
‫מ‬ ‫של‬ ‫המשמעות‬ ‫מה‬ ‫ראו‬ ‫שהמנהלים‬ ‫לאחר‬ .‫בעלים‬ ‫של‬ ‫לרמה‬ ‫עד‬ ‫בארגון‬
‫על‬ ‫סייבר‬ ‫תקפת‬
‫ארגונם‬
–
‫הופרשו‬ ‫מתאימים‬ ‫ותקציבים‬ ‫הנושא‬ ‫של‬ ‫הפנמה‬ ‫הייתה‬
‫בהתאם‬
.
,‫בברכה‬
‫ו‬ ‫רוסין‬ ‫סיגל‬
‫כהן‬ ‫פיני‬

3. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
Page 3 of 11
‫תוכן‬
‫עניינים‬
‫הקדמה‬
................................
................................
................................
........................
3
‫גבולות‬
‫גזרה‬
‫בפרויקט‬
................................
................................
................................
......
6
‫עמידה‬
‫בתקנ‬
‫ים‬
‫ורגולציה‬
................................
................................
................................
..
7
‫פה‬
‫קבור‬
‫הכלב‬
................................
................................
................................
...............
7
‫כלים‬
‫ל‬
-
static code analysis
‫בהקשר‬
‫אבטחת‬
‫מידע‬
................................
..............................
8
‫תקציב‬
‫אבטחת‬
‫מידע‬
(
‫בהקשר‬
‫פיתוח‬
)
................................
................................
................
9
‫הכשרות‬
‫מפתחים‬
‫ובודקים‬
‫בנוגע‬
‫לאבטחת‬
‫מידע‬
................................
................................
...
9
‫קוד‬
‫פתוח‬
‫בהקשר‬
‫של‬
‫אבטחת‬
‫מידע‬
................................
................................
.................
10
‫נספח‬
‫מיוחד‬
‫התייחסות‬
‫ספקים‬
‫ויצרנים‬
‫לנאמר‬
‫במפגש‬
................................
..........................
10
‫הקדמה‬
‫מאובטח‬ ‫פיתוח‬ ‫ומימוש‬ ‫יישום‬ ,‫להטמעה‬ ‫שלמה‬ ‫מתודולוגיה‬ ‫אימצה‬ ‫מיקרוסופט‬ ‫חברת‬
–
Software Development Lifecycle
" ;‫(להלן‬
SDL
.)"
‫על‬ ‫נדבר‬ ‫בהמשך‬
‫מתודולוגית‬
‫כ‬ ‫הנחשבים‬ ‫נוספים‬ ‫ואתרים‬ ‫אחרות‬ ‫ממתודולוגיות‬ ‫חשובים‬ ‫אלמנטים‬ ‫הוספת‬ ‫תוך‬ ‫מיקרוסופט‬
–
Best Practices
‫כגון‬ ‫זה‬ ‫לנושא‬
OWASP
.‫וכדומה‬
‫המתודולוגיה‬ ‫בהטמעת‬ ‫הדרך‬ ‫אבני‬
‫מתודולוגית‬ ‫של‬ ‫הדרך‬ ‫אבני‬
SDL
:‫רגלים‬ ‫שלוש‬ ‫על‬ ‫מושתתות‬
1
.
( ‫והעשרה‬ ‫לימוד‬
education
)
2
.
( ‫מתמשך‬ ‫השתפרות‬ ‫תהליך‬
continuous process improvement
)
Education
Improvement
Accountability

4. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
Page 4 of 11
3
.
( ‫באחריות‬ ‫נשיאה‬
accountability
)
‫ו‬ ‫הפיתוח‬ ‫במחזור‬ ‫היטב‬ ‫משתלבת‬ ‫המתודולוגיה‬
.‫המידע‬ ‫אבטחת‬ ‫לנושא‬ ‫טבעית‬ ‫השלמה‬ ‫מהווה‬
.‫הפיתוח‬ ‫למחזור‬ ‫בהתאם‬ ‫המתודולוגיה‬ ‫מרכיב‬ ‫את‬ ‫הממחיש‬ ‫תרשים‬ ‫להלן‬
‫רבים‬ ‫שלבים‬ ‫מוגדרים‬ ‫המתודולוגיה‬ ‫ובהטמעת‬ ,‫הפיתוח‬ ‫למחזור‬ ‫חופפים‬ ‫כאמור‬ ‫המרכיבים‬
‫מיקרוסופט‬ ‫חברת‬ ‫של‬ ‫לדוקטרינה‬ ‫בהתאם‬ .‫בארגון‬ ‫המתודולוגיה‬ ‫יישום‬ ‫את‬ ‫מאפשרים‬ ‫יחד‬ ‫אשר‬
( ‫הפיתוח‬ ‫שלבי‬ ‫חמשת‬ ‫כנגד‬ ‫נושאים‬ ‫עשר‬ ‫שישה‬ ‫הוגדרו‬
Requirements, Design,
Implementation, Verification, Release
‫להגדרת‬ )
SDL
‫את‬ ‫נעביר‬ ‫אנו‬ .‫בארגון‬ ‫והטמעתו‬
.‫דוגמא‬ ‫לקוח‬ ‫בחברת‬ ‫הנבחר‬ ‫לצוות‬ ‫המוגדרים‬ ‫הנושאים‬ ‫כל‬
‫אופטימיזציה‬
‫מתודולוגית‬ ,‫כאמור‬
SDL
‫ל‬ .‫וארוך‬ ‫מורכב‬ ‫תהליך‬ ‫הנה‬
‫מודל‬ ‫מיקרוסופט‬ ‫הגדירה‬ ‫כך‬ ‫שם‬
‫נוסף‬ ‫שלב‬ ‫פעם‬ ‫בכל‬ ‫לעבור‬ ‫הינה‬ ‫הנהוגה‬ ‫השיטה‬ .‫המתודולוגיה‬ ‫ומימוש‬ ‫ליישום‬ ‫אופטימיזציה‬
.‫הפיתוח‬ ‫בצוות‬ ‫שוטף‬ ‫באופן‬ ‫ומתקיים‬ ‫מוטמע‬ ‫הנוכחי‬ ‫שהשלב‬ ‫לאחר‬ ‫וזאת‬ ‫והיישום‬ ‫הידע‬ ‫ברמת‬
:‫צוותיות‬ ‫יכולות‬ ‫המשקפים‬ ‫נושאים‬ ‫חמישה‬ ‫למתודולוגיה‬
•
Training, policy, and organizational capabilities
•
Requirements and design
•
Implementation
•
Verification
•
Release and response
‫נושאים‬ ‫מוגדרים‬ ‫רמה‬ ‫לכל‬ .‫ארגונית‬ ‫הטמעה‬ ‫של‬ ‫רמות‬ ‫ארבע‬ ‫על‬ ‫מושתתים‬ ‫הללו‬ ‫הנושאים‬
.‫הפיתוח‬ ‫בצוות‬ ‫ויישום‬ ‫ללימוד‬

5. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
Page 5 of 11
‫ד‬ ‫לקוח‬ ‫עם‬ ‫נעבור‬ ‫אנו‬ ‫המתודולוגיה‬ ‫פי‬ ‫על‬
‫רמה‬ ‫בין‬ ‫ויישום‬ ‫מעבר‬ ‫ונוודא‬ ‫הרמות‬ ‫לאורך‬ ‫וגמא‬
‫בפרויקטים‬ ‫והדרכה‬ ‫ליווי‬ ,‫טיפול‬ ‫הכולל‬ ‫שבועי‬ ‫ליווי‬ ‫של‬ ‫מרכיב‬ ‫גם‬ ‫מציעים‬ ‫אנו‬ ,‫כך‬ ‫לשם‬ .‫לרמה‬
,‫שלבים‬ ‫לכל‬ ‫מתייחס‬ ‫הפרויקט‬ ‫שהיקף‬ ‫לציין‬ ‫יש‬ .‫דוגמא‬ ‫לקוח‬ ‫לדרישת‬ ‫בהתאם‬ ‫נבחרים‬
.‫המתקדם‬ ‫עד‬ ‫מהבסיסי‬
‫השו‬ ‫הפעילויות‬ ‫את‬ ‫המשקפת‬ ‫טבלה‬ ‫להלן‬
.‫ורמה‬ ‫רמה‬ ‫בכל‬ ‫מיושמות‬ ‫ואשר‬ ‫נות‬

6. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
Page 6 of 11

‫בשם‬ ‫ייעוץ‬ ‫מחברת‬ ‫לקוחה‬ ‫המתודולוגיה‬ ‫כי‬ ‫לציין‬ ‫חשוב‬
GRSEE
‫פיתוח‬ ‫בתהליכי‬ ‫המתמחה‬
‫מנכ"ל‬ ,‫אדרת‬ ‫בן‬ ‫בן‬ :‫קשר‬ ‫איש‬ .‫בארגונים‬ ‫מאובטח‬
52.3866591
0
‫בפרויקט‬ ‫גזרה‬ ‫גבולות‬
‫בא‬ .‫המידע‬ ‫אבטחת‬ ‫תחום‬ ‫של‬ "‫הגזרה‬ ‫"גבולות‬ ‫והיא‬ ‫יחסית‬ ‫חדשה‬ ‫סוגיה‬ ‫עלתה‬ ‫בדיון‬
‫ופן‬
‫לצורך‬ ‫לארגון‬ ‫פריצות‬ ‫מניעת‬ ‫של‬ ‫נושאים‬ ‫על‬ ‫היתר‬ ‫בין‬ ‫אחראי‬ ‫המידע‬ ‫אבטחת‬ ‫תחום‬ ‫מסורתי‬
‫השחתת‬ ,"‫לקוחות‬ ‫פרטי‬ ‫("מחיקת‬ ‫ונדליזם‬ ‫לצורך‬ ‫פריצות‬ ‫מניעת‬ ,‫מידע‬ ‫או‬ ‫כסף‬ ‫גניבת‬ ‫ביצוע‬
( ‫שירות‬ ‫מתן‬ ‫מניעת‬ ,)‫אתר‬
DDOS
.‫ועוד‬ )

7. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
Page 7 of 11
‫ה‬ ‫קולות‬ ‫שומעים‬ ‫לאחרונה‬ ‫אולם‬
‫אמינות‬ ‫של‬ ‫נושאים‬ "‫מידע‬ ‫"אבטחת‬ ‫של‬ ‫התחום‬ ‫תחת‬ ‫מכללים‬
‫קשורים‬ ‫הם‬ ‫גם‬ ‫אליו‬ ‫הקשורים‬ ‫והנתונים‬ ‫עסקי‬ ‫תהליך‬ ‫של‬ ‫שאמינותו‬ ‫טוענים‬ ‫ולפיכך‬ ‫מידע‬
‫"הנורית‬ ‫כתובת‬ ‫מקליד‬ ‫לקוח‬ ‫לדוגמה‬ .‫מידע‬ ‫לאבטחת‬
7
‫במסד‬ ‫נשמר‬ ‫בתכנות‬ ‫טעות‬ ‫בגלל‬ ‫אבל‬ "
‫"הנורית‬ ‫הנתונים‬
8
‫בגי‬ ‫נוקטים‬ ‫אשר‬ )‫(מעטים‬ ‫ארגונים‬ ."
‫הבדיקות‬ ‫תחום‬ ‫שכל‬ ‫מחייבים‬ ‫זו‬ ‫שה‬
.‫המידע‬ ‫אבטחת‬ ‫ארגון‬ ‫של‬ ‫וכללים‬ ‫דרישות‬ ‫לפי‬ ‫וינהג‬ ‫כפוף‬ ‫יהיה‬
‫רק‬ ‫קשורים‬ ‫פיתוח‬ ‫של‬ ‫בהקשר‬ ‫המידע‬ ‫אבטחת‬ ‫שנושאי‬ ‫בגישה‬ ‫נוקטים‬ ‫הארגונים‬ ‫רוב‬ ‫אולם‬
.‫למעלה‬ ‫שהוצגה‬ ‫כפי‬ ‫בסוגיה‬ ‫מטפלים‬ ‫לא‬ ‫ולכן‬ ‫פונקציונליות‬ ‫הלא‬ ‫לבדיקות‬
‫גם‬ ‫מבצעים‬ ‫מתקדמים‬ ‫ארגונים‬
‫בהתאם‬ ‫המפתחים‬ ‫את‬ ‫ומנחים‬ ‫מידע‬ ‫אבטחת‬ ‫בהקשר‬ ‫קוד‬ ‫סקר‬
‫הקוד‬ ‫של‬ ‫ובדיקה‬ ‫לכתיבה‬
‫כי‬ ‫מידע‬ ‫אבטחת‬ ‫מבחינת‬ ‫בעייתי‬ ‫הדבר‬ ‫ארוך‬ ‫קלט‬ ‫שדה‬ ‫ישנו‬ ‫אם‬ .
‫כגון‬ ‫לפגע‬ ‫פתח‬ ‫שהוא‬ ‫בעייתי‬ ‫קלט‬ ‫להכניס‬ ‫כזה‬ ‫בשדה‬ ‫ניתן‬
sql injection
‫אנשי‬ ‫אם‬ ‫אולם‬ .
‫יש‬ ‫זהות‬ ‫תעודת‬ ‫שבשדה‬ ‫מגלים‬ ‫המידע‬ ‫אבטחת‬
2
‫תווים‬
‫מי‬
‫ותרים‬
‫בעייתי‬ ‫שהדבר‬ ‫למרות‬ ,
‫בעייתי‬ ‫הדבר‬ ‫אין‬ )‫אחרות‬ ‫במערכות‬ ‫זהות‬ ‫לתעודת‬ ‫להשוות‬ ‫קושי‬ ‫(יהיה‬ ‫פונקציונלית‬ ‫מבחינה‬
.‫למפתחים‬ ‫פניה‬ ‫תתבצע‬ ‫לא‬ ‫ולכן‬ ‫מידע‬ ‫אבטחת‬ ‫מבחינת‬
‫גם‬ ‫הם‬ ‫בתוכנה‬ ‫באגים‬ ‫יותר‬ ‫יש‬ ‫שבהם‬ ‫המקומות‬ ,‫רבים‬ ‫ארגונים‬ ‫של‬ ‫ניסיונם‬ ‫פי‬ ‫על‬ ‫זאת‬ ‫עם‬
‫אבטחת‬ ‫לפגעי‬ ‫חשופים‬ ‫היותר‬
‫את‬ ‫מקבל‬ ‫המידע‬ ‫אבטחת‬ ‫צוות‬ ‫אשר‬ ‫ארגונים‬ ‫ישנם‬ ‫ולכן‬ ‫מידע‬
‫הלא‬ ‫הבדיקות‬ ‫תוצאות‬
‫פונקציונליו‬
‫ת‬
.‫הבדיקות‬ ‫מצוות‬ ‫שמתקבלות‬ ‫הפונקציונליות‬ ‫וגם‬
‫לקוחות‬
‫בשפות‬ ‫ושימוש‬ ‫במובייל‬ ‫אפליקציות‬ ‫פיתוח‬ ‫בעקבות‬ ‫התחזק‬ ‫מאובטח‬ ‫הפיתוח‬ ‫עולם‬ ‫כי‬ ‫ציינו‬
.‫מתקדמות‬ ‫תוכנה‬
‫ורגולציה‬ ‫בתקנים‬ ‫עמידה‬
‫לקוחו‬
‫כמו‬ ‫בינלאומיים‬ ‫בתקנים‬ ‫מעמידה‬ ‫שכחלק‬ ‫ציינו‬ ‫ת‬
ISO 270001
‫ושיפור‬ ‫שינוי‬ ‫ישנו‬
.‫מידע‬ ‫אבטחת‬ ‫של‬ ‫בהקשר‬ ‫הפיתוח‬ ‫בתהליכי‬
‫הארגון‬ ‫מפתחי‬ ‫נדרשים‬ ‫התקן‬ ‫לאותו‬ ‫בהמשך‬
‫מתודולוגי‬ ‫ואף‬ ‫בנושא‬ ‫מסודרים‬ ‫נהלים‬ ,‫מאובטחת‬ ‫לכתיבה‬
‫ה‬
.
‫הכלב‬ ‫קבור‬ ‫פה‬
‫ל‬ ‫בהקשר‬ ‫השונים‬ ‫הארגונים‬ ‫בין‬ ‫גדולה‬ ‫שונות‬ ‫ישנה‬
‫אולם‬ ‫מאובטח‬ ‫פיתוח‬ ‫של‬ ‫ונהלים‬ ‫תהליכים‬
‫דעים‬ ‫תמימות‬ ‫הייתה‬ ‫בדיון‬
‫כי‬
‫סבירה‬ ‫בצורה‬ ‫מטופלים‬ ‫הגדולים‬ ‫הפרויקטים‬ ‫של‬ ‫המכריע‬ ‫רובם‬
‫במשימות‬ ‫ובמיוחד‬ ‫הקטנים‬ ‫בפרויקטים‬ ‫היא‬ ‫בעיקר‬ ‫הבעיה‬ ‫אולם‬ .‫מאובטח‬ ‫פיתוח‬ ‫של‬ ‫בהיבט‬

8. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
Page 8 of 11
‫כ‬ ‫רבים‬ ‫במקרים‬ ‫שמוגדר‬ ‫מה‬ ‫קטנות‬ ‫אחזקה‬
-
‫בארגוני‬ .‫שו"ש‬
enterprise
‫בי‬
‫מאות‬ ‫יש‬ ‫שראל‬
"‫קטן‬ ‫ב"שינוי‬ ‫מדובר‬ ‫הרי‬ ‫כי‬ ‫מלא‬ ‫פיתוח‬ ‫תהליך‬ ‫עוברות‬ ‫שאינן‬ ‫כאלה‬ ,‫ברבעון‬ ‫קטנות‬ ‫משימות‬
.‫אסון‬ ‫הרת‬ ‫להיות‬ ‫עלולה‬ ‫מאובטח‬ ‫פיתוח‬ ‫של‬ ‫בהקשר‬ ‫והתוצאה‬
,‫קושחה‬ ‫עדכון‬ ,‫כגון‬ ‫דוגמאות‬
.‫ועוד‬ ,‫החוצה‬ ‫היוצא‬ ‫ארגוני‬ ‫ממשק‬ ,‫קריטי‬ ‫לשרת‬ ‫תוכנה‬ ‫עדכון‬
‫שבו‬ ‫מצב‬ ‫לקוח‬ ‫תאר‬ ‫דוגמה‬ ‫בתור‬
‫ב‬ ‫המשתמש‬ ‫בארגון‬
-
IE8
‫סטנדרטי‬ ‫ארגוני‬ ‫דפדפן‬ ‫בתור‬
‫באחד‬ ‫יוזמה‬ ‫עלתה‬
‫מהפרויקטים‬
‫ב‬ ‫זה‬ ‫בפרויקט‬ ‫להשתמש‬ ‫הפנימיים‬
-
chrome
‫ליישם‬ ‫בכדי‬
‫של‬ ‫מתקדמת‬ ‫פונקציונליות‬
java script
‫לשימוש‬ ‫התייחסו‬ ‫בפרויקט‬ )‫(והמנהלים‬ ‫המפתחים‬ .
‫ב‬
-
chrome
‫מידע‬ ‫שאבטחת‬ ‫הסתבר‬ ‫אולם‬ .‫לאוויר‬ ‫הפרויקט‬ ‫את‬ ‫להעלות‬ ‫ורצו‬ ‫שולי‬ ‫דבר‬ ‫בתור‬
‫ב‬ ‫שימוש‬ ‫אישרה‬ ‫לא‬
-
chrome
.)‫מרוכז‬ ‫באופן‬ ‫הדפדפן‬ ‫את‬ ‫לנהל‬ ‫כיום‬ ‫היכולת‬ ‫חוסר‬ ‫(עקב‬
‫אינו‬ ‫מידע‬ ‫אבטחת‬ ‫מבחינת‬ ‫אבל‬ ‫פעוט‬ ‫נראה‬ ‫המפתחים‬ ‫שמבחינת‬ ‫נושא‬ ‫על‬ ‫מדובר‬ ‫כלומר‬
‫טריוויאל‬
‫י‬
‫בפרוי‬ ‫עיקוב‬ ‫נוצר‬ ‫ולכן‬ ‫בכלל‬
‫קט‬
.
‫בתחום‬ ‫האדם‬ ‫כוח‬ .‫פרויקט‬ ‫בתחילת‬ ‫עוד‬ ‫שנעשה‬ ‫סיכונים‬ ‫בניהול‬ ‫תלוי‬ ‫הכל‬ ‫כי‬ ‫לציין‬ ‫חשוב‬
‫יש‬ ‫לכן‬ .‫האבטחה‬ ‫נושא‬ ‫את‬ ‫וינחה‬ ‫שיישב‬ ‫אדם‬ ‫פרויקט‬ ‫לכל‬ ‫להקצות‬ ‫וקשה‬ ‫מצומצם‬ ‫האבטחה‬
‫המידע‬ ‫אבטחת‬ ‫דרך‬ ‫לעבור‬ ‫יש‬ ‫ומשמעותיים‬ ‫מורכבים‬ ‫בפרויקטים‬ ‫ולפחות‬ ‫תהליכים‬ ‫לייעל‬
.‫בארגון‬
‫עם‬ ‫להתמודד‬ ‫בכדי‬
‫הסוגיה‬
‫אבטחת‬ ‫מול‬ ‫צמודה‬ ‫עבודה‬ ‫המחייבים‬ ‫והשינויים‬ ‫הפרויקטים‬ ‫זיהוי‬
‫המידע‬
‫הארגונים‬ ‫אחד‬ ‫יצר‬
template
‫של‬
‫השינוי‬ ‫מהות‬ ‫לגבי‬ ‫למפתח‬ ‫שאלות‬
‫האם‬ ,‫(לדוגמא‬
‫לנתונים‬ ‫נגשים‬ ‫שבה‬ ‫הדרך‬ ‫עדכון‬ ‫כולל‬ ‫השינוי‬ ‫האם‬ ,‫משתמשים‬ ‫או‬ ‫בהרשאות‬ ‫שינוי‬ ‫כולל‬ ‫השינוי‬
)'‫וכד‬
‫מחלי‬ ‫השאלות‬ ‫על‬ ‫המענה‬ ‫ולפי‬
‫שלבים‬ ‫ובאיזה‬ ‫המידע‬ ‫אבטחת‬ ‫את‬ ‫לערב‬ ‫יש‬ ‫האם‬ ‫טים‬
.‫בפיתוח‬
‫פרויקט‬ ‫כל‬ ‫מייזום‬ ‫בסיסי‬ ‫חלק‬ ‫להיות‬ ‫אמור‬ ‫זה‬ ‫שאלון‬
.‫שינוי‬
‫ל‬ ‫כלים‬
-
static code analysis
‫מידע‬ ‫אבטחת‬ ‫בהקשר‬
‫שמבצעים‬ ‫בכלים‬ ‫הצורך‬ ‫עלה‬ ‫בדיון‬
static code analysis
‫כגון‬
checkmarks
,
c-care
‫ורבים‬
.)‫פתוח‬ ‫קוד‬ ‫(חלקם‬ ‫אחרים‬
‫בהקשר‬ ‫האבטחה‬ ‫רמת‬ ‫בהעלאת‬ ‫מסייעים‬ ‫הכלים‬ ‫לקוחות‬ ‫לדעת‬
‫בביצוע‬ ‫הצורך‬ ‫את‬ ‫מחליפים‬ ‫לא‬ ‫אלו‬ ‫שכלים‬ ‫היא‬ ‫הרווחת‬ ‫הדעה‬ ‫אולם‬ ‫פיתוח‬ ‫של‬
PT
.
‫ב‬ ‫משתמשים‬ ‫שבו‬ ‫מצב‬ ‫תאר‬ ‫הארגונים‬ ‫אחד‬
-
CCARE
,‫וברור‬ ‫טוב‬ ‫הנו‬ ‫שמתקבל‬ ‫הפלט‬ ‫כאשר‬
.‫המלצות‬ ‫וכולל‬ ‫קריטיות‬ ‫לפי‬ ‫ממוין‬

9. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
Page 9 of 11
‫אינם‬ ‫זה‬ ‫מתחום‬ ‫כלים‬ ‫אולם‬
‫קוד‬ ‫מכסים‬
LEGACY
(
MF AS400
‫גם‬ ‫כמו‬ )‫שנות‬ ‫ומערכות‬
‫ה‬ ‫ארגוני‬ ‫של‬ ‫המכריע‬ ‫רובם‬ ‫מבוססים‬ ‫עליהם‬ ‫חבילות‬
-
enterprise
‫ולכן‬
‫הפוטנציאלי‬ ‫המקום‬
.‫גדול‬ ‫אינו‬ ‫אלו‬ ‫בכלים‬ ‫להשתמש‬ ‫אפשר‬ ‫שבו‬
‫כמו‬ ‫בתחום‬ ‫ותיקים‬ ‫כלים‬ ‫ישנם‬ ,‫בנוסף‬
HP FORTIFY
‫ויבמ‬
APPSCAN
‫שעלה‬ ‫נוסף‬ ‫מתחרה‬ .
‫הוא‬ ‫האחרונות‬ ‫בשנים‬
SEEKER
‫בבדיקות‬ ‫גם‬ ‫התומך‬
‫דינמיות‬
.
.‫במוצר‬ ‫ולא‬ ‫הקוד‬ ‫את‬ ‫הבודקות‬ ‫ייעוץ‬ ‫חברות‬ ‫בשירותי‬ ‫נעזרים‬ ‫הם‬ ‫כי‬ ‫שציינו‬ ‫לקוחות‬ ‫ישנם‬
,‫אבנט‬ ,‫קומסק‬ ‫הם‬ ‫בנושא‬ ‫שעלו‬ ‫ייעוץ‬ ‫חברות‬
Beyond security
.
)‫פיתוח‬ ‫(בהקשר‬ ‫מידע‬ ‫אבטחת‬ ‫תקציב‬
‫אבטח‬ ‫תקציב‬ ‫של‬ ‫בנושא‬
.‫הארגונים‬ ‫בין‬ ‫רבה‬ ‫שונות‬ ‫התגלתה‬ ‫הפרויקטים‬ ‫על‬ "‫ו"גילגולו‬ ‫המידע‬ ‫ת‬
,‫הנראה‬ ‫פי‬ ‫על‬
‫אבטחת‬ ‫לנושא‬ ‫פרויקט‬ ‫פר‬ ‫מראש‬ ‫מקצים‬ ‫אינם‬ ‫הארגונים‬ ‫של‬ ‫המכריע‬ ‫רובם‬
‫בדיקות‬ ‫כלל‬ ‫(בדרך‬ ‫זה‬ ‫בתחום‬ ‫הוצאות‬ ‫מעמיסים‬ ‫אינם‬ ‫גם‬ ‫ורבים‬ ‫מידע‬
PT
–
‫עלות‬ ‫גודל‬ ‫סדר‬
‫של‬
20
K
₪
‫לבדיקה‬
‫ביצוע‬ ‫אך‬ ,
PT
‫לפרויקטיי‬
WEB
‫טכנולוגיות‬ ‫על‬ ‫המתבססים‬
REST
‫עלול‬
‫יותר‬ ‫לעלות‬
.‫הפרויקט‬ ‫על‬ )
‫של‬ ‫גודל‬ ‫סדר‬ ‫על‬ ‫דיברו‬ ‫פרויקט‬ ‫פר‬ ‫תקציב‬ ‫מקצים‬ ‫שכן‬ ‫ארגונים‬
5%
.‫הפרויקט‬ ‫מתקציב‬
‫מתודולוגי‬ ‫או‬ ‫נהלים‬ ‫אין‬ ‫מאובטח‬ ‫הפיתוח‬ ‫לתחום‬ ‫כי‬ ‫ציינו‬ ‫לקוחות‬ ‫כמה‬ ,‫בנוסף‬
‫ה‬
.
‫נתקל‬ ‫הארגון‬
‫בו‬ ‫במצב‬
‫המידע‬ ‫אבטחת‬
‫מעכבת‬
‫פרויקט‬
‫הי‬
‫כתוצאה‬ .‫הייזום‬ ‫בשלב‬ ‫עוד‬ ‫נכללה‬ ‫לא‬ ‫והיא‬ ‫ות‬
‫גדל‬ ‫הפרויקט‬ ‫תקציב‬ ,‫מכך‬
.
‫מידע‬ ‫לאבטחת‬ ‫בנוגע‬ ‫ובודקים‬ ‫מפתחים‬ ‫הכשרות‬
‫ישנה‬ ‫שבהחלט‬ ‫מסתבר‬ .‫מידע‬ ‫אבטחת‬ ‫בהקשר‬ ‫מפתחים‬ ‫הכשרות‬ ‫של‬ ‫הנושא‬ ‫עלה‬ ‫בדיון‬
‫מכשירים‬ ‫אשר‬ ‫ארגונים‬ ‫ישנם‬ .‫המפתחים‬ ‫בקרב‬ ‫הנושא‬ ‫ותזכור‬ ‫לימוד‬ ‫לחשיבות‬ ‫מודעות‬
‫מפתחים‬
‫בתנאי‬ ‫מעמידה‬ ‫כחלק‬ ‫אשר‬ ‫ארגונים‬ ‫ישנם‬ .‫לתפקיד‬ ‫מכניסתם‬ ‫כחלק‬
PCI
‫מחויבים‬
‫אולם‬ ‫בשנה‬ ‫הדרכה‬ ‫שעת‬ ‫לפחות‬ ‫של‬ ‫בתדירות‬ ‫למפתחים‬ ‫המאובטח‬ ‫הפיתוח‬ ‫נושא‬ ‫את‬ ‫לתזכר‬
.‫מהארגונים‬ ‫בחלק‬ ‫תוכנה‬ ‫בודקי‬ ‫לגבי‬ ‫כנ"ל‬ .‫מספיקה‬ ‫תמיד‬ ‫שלא‬ ‫בכמות‬ ‫מדובר‬ ‫ארגונים‬ ‫לדברי‬
‫לא‬ ‫(אבל‬ ‫מידע‬ ‫אבטחת‬ ‫של‬ ‫בהקשר‬ ‫בסיסית‬ ‫בדיקה‬ ‫מבצעים‬ ‫התוכנה‬ ‫בודקי‬ ‫אלו‬ ‫בארגונים‬
‫תהל‬ ‫החלפת‬ ‫על‬ ‫מדובר‬
‫ביצוע‬ ‫של‬ ‫יך‬
PT
.)‫חיצוני‬
‫רבעון‬ ‫כל‬ .‫החדשים‬ ‫למפתחים‬ ‫מאובטח‬ ‫פיתוח‬ ‫קורס‬ ‫נערך‬ ‫בשנה‬ ‫פעם‬ ‫כי‬ ‫שיתף‬ ‫הלקוחות‬ ‫אחד‬
‫ישנו‬ .‫שיותר‬ ‫כמה‬ ‫בנושא‬ ‫המודעות‬ ‫את‬ ‫להעלות‬ ‫חשוב‬ .‫מאובטח‬ ‫פיתוח‬ ‫על‬ ‫כללית‬ ‫הרצאה‬ ‫ישנה‬

10. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
Page 10 of 11
‫הארגונית‬ ‫לתרבות‬ ‫ישיר‬ ‫קשר‬
-
‫לא‬ ‫הארגונים‬ ‫רוב‬ .‫אינטרנט‬ ‫ארגון‬ ‫לעומת‬ ‫מסורתי‬ ‫ארגון‬
‫עושים‬
CHARGEBACK
‫מנהל‬ ‫ולכן‬ ,‫אבטחה‬ ‫על‬ ‫לשלם‬ ‫מוכן‬ ‫לא‬ ‫הביזנס‬ .‫לאבטחה‬
IT
‫זאת‬ ‫מקדם‬
‫להוכיח‬ ‫ויש‬ ‫נמדדים‬ ‫הזמן‬ ‫כל‬ ‫האבטחה‬ ‫בעולם‬ .‫אחרון‬ ‫האבטחה‬ ‫שנושא‬ ‫כך‬
ROI
‫מוצרים‬ ‫על‬
‫ו‬ ‫הסיכונים‬ ‫ניהול‬ ‫עולם‬ ‫לכן‬ .‫שקונים‬
GOVERNANCE
.‫כאן‬ ‫חזק‬ ‫משתלב‬
‫פתוח‬ ‫קוד‬
‫מידע‬ ‫אבטחת‬ ‫של‬ ‫בהקשר‬
‫סו‬ ‫עלתה‬ ‫בדיון‬
‫שאינו‬ ‫פתוח‬ ‫בקוד‬ ‫השימוש‬ ‫והיא‬ ‫הפיתוח‬ ‫לתחום‬ ‫ישיר‬ ‫באופן‬ ‫קשורה‬ ‫שאינה‬ ‫גיה‬
‫ויותר‬ ‫יותר‬ ‫רווח‬ ‫פתוח‬ ‫בקוד‬ ‫השימוש‬ .‫בארגונים‬ ‫מסחרי‬
‫אינטרנט‬ ‫בחברות‬ ‫בעיקר‬
‫ארגוני‬ ‫גם‬ ‫מתחילים‬ ‫וכעת‬ ‫ובסטארטאפים‬
enterprise
‫מצד‬ .‫מסחרי‬ ‫שאינו‬ ‫פתוח‬ ‫קוד‬ ‫ליישם‬
‫עיניי‬ ‫יותר‬ ‫פתוח‬ ‫קוד‬ ‫על‬ ‫שמדובר‬ ‫מכיוון‬ ‫אחד‬
‫קוד‬ ‫חלקי‬ ‫ויש‬ ‫במידה‬ ‫ולכן‬ ‫הקוד‬ ‫את‬ ‫רואות‬ ‫ם‬
‫גורמים‬ ‫יותר‬ ‫ישנם‬ ‫שני‬ ‫מצד‬ ‫אולם‬ .‫גבוה‬ ‫יותר‬ ‫שיתגלו‬ ‫הסיכוי‬ ‫מידע‬ ‫אבטחת‬ ‫מבחינת‬ ‫בעייתיים‬
‫בעייתי‬ ‫קוד‬ ‫להזין‬ ‫עלולים‬ ‫אשר‬
–
‫לוודא‬ ‫מעוניינות‬ ‫הבסיסית‬ ‫שברמה‬ ‫מסחריות‬ ‫חברות‬ ‫לעומת‬
‫"רעי‬ ‫גורמים‬ ‫שבה‬ ‫סיטואציה‬ ‫כמובן‬ ‫ישנו‬ ‫(אולם‬ ‫מאובטח‬ ‫שהקוד‬
‫החברה‬ ‫לתוך‬ ‫חדרו‬ "‫ם‬
.)‫המסחרית‬
‫עובדה‬ ‫עקב‬ ‫אולם‬ ‫מסחרי‬ ‫שאינו‬ ‫פתוח‬ ‫בקוד‬ ‫משתמש‬ ‫הוא‬ ‫שבו‬ ‫מצב‬ ‫תאר‬ ‫הארגונים‬ ‫אחד‬ ,‫ואכן‬
.‫יזיק‬ ‫לא‬ ‫זה‬ ‫שקוד‬ ‫לוודא‬ ‫נוספות‬ ‫אבטחה‬ ‫מעטפות‬ ‫בארגון‬ ‫יצרו‬ ‫זו‬
‫נספח‬
‫מיוחד‬
‫התייחסות‬
‫ספקים‬
‫ויצרנים‬
‫לנאמר‬
‫במפגש‬
‫חברת‬ ‫התייחסות‬
HP
,‫סוויסה‬ ‫עמי‬ :‫קשר‬ ‫איש‬
‫מכירות‬
0524265310
Ami.Suissa@hp.com
‫במוצר‬ ‫וגאים‬ ‫ומאובטח‬ ‫לפיתוח‬ ‫העזר‬ ‫כלי‬ ‫את‬ ‫רבה‬ ‫בחשיבות‬ ‫רואים‬ ‫אנו‬
Fortify
‫מבית‬
HP
.‫בתחום‬ ‫המוביל‬
Fortify
‫בארגון‬ ‫המאובטח‬ ‫פיתוח‬ ‫ה‬ ‫תהליך‬ ‫בתוך‬ ‫משתלבים‬ ‫בשוק‬ ‫אחרים‬ ‫כלים‬ ‫גם‬ ‫כמו‬
SDLC
.
‫ב‬ ‫משתמשים‬ ‫לרוב‬ ‫שהוזכר‬ ‫כפי‬
static code analysis
‫הכי‬ ‫ברמה‬ ‫פגיעויות‬ ‫מציאת‬ ‫שמאפשר‬
‫גם‬ ‫אך‬ ,‫גבוהה‬
Dynamic code analysis
.‫לקוחותינו‬ ‫אצל‬ ‫נרחב‬ ‫בשימוש‬
HP
‫העגול‬ ‫בשולחן‬ ‫שהוזכרו‬ ‫מאובטח‬ ‫פיתוח‬ ‫בנושא‬ ‫למפתחים‬ ‫הדרכה‬ ‫שירותי‬ ‫מספקת‬ ‫גם‬
-
.‫המאובטח‬ ‫הפיתוח‬ ‫את‬ ‫לומד‬ ‫ומייד‬ ‫לינק‬ ‫מקבל‬ ‫הוא‬ ,‫חדש‬ ‫עובד‬ ‫מגיע‬ ‫שכאשר‬ ‫כך‬

11. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
Page 11 of 11
‫ש‬ ‫לציין‬ ‫יש‬
HP
‫מספקת‬
‫שירותי‬ ‫גם‬
‫בענן‬ ‫קוד‬ ‫בדיקת‬
Fortify on demand
-
‫שצובר‬ ‫שירות‬
.‫הלקוח‬ ‫מצד‬ ‫ידע‬ ‫מצריך‬ ‫ולא‬ ‫עבודה‬ ‫יום‬ ‫תוך‬ ‫תוצרים‬ ‫ומספק‬ ‫בעולם‬ ‫תאוצה‬
‫גוברים‬ ‫שהאיומים‬ ‫כיוון‬ ,‫החברה‬ ‫מאחורי‬ ‫שעומד‬ ‫המחקר‬ ‫לגוף‬ ‫היא‬ ‫נוספת‬ ‫חשיבות‬ ,‫לכך‬ ‫מעבר‬
‫ל‬ ,‫עימם‬ ‫להתמודד‬ ‫תדע‬ ‫הסריקה‬ ‫שתוכנת‬ ‫לדאוג‬ ‫ויש‬ ‫יום‬ ‫כל‬
HP
‫מעל‬
2000
.‫מחקר‬ ‫אנשי‬
‫ה‬ ‫מוצר‬ ,‫יזום‬ ‫באופן‬ ‫אפליקטיבים‬ ‫אבטחה‬ ‫חורי‬ ‫של‬ ‫וחסימה‬ ‫בפרואקטיביות‬ ‫גם‬ ‫נמצא‬ ‫העתיד‬
Application Defender
‫בסביבת‬ ‫שרצות‬ ‫אפליקציות‬ ‫על‬ ‫אפליקטיבית‬ ‫ברמה‬ ‫להגן‬ ‫מאפשר‬
Production
,‫מיידי‬ ‫באופן‬ ‫למפתחים‬ ‫הקוד‬ ‫את‬ ‫להחזיר‬ ‫צורך‬ ‫אין‬ ,‫אבטחה‬ ‫חור‬ ‫נמצא‬ ‫אם‬ ‫וגם‬
Application Defender
.‫כך‬ ‫על‬ ‫לדווח‬ ‫וכמובן‬ ‫הפגיעויות‬ ‫את‬ ‫לחסום‬ ‫יודעת‬
‫נוספות‬ ‫שאלות‬ ‫יש‬ ‫באם‬ ‫לרשותכם‬ ‫לעמוד‬ ‫נשמח‬