« Secure by Design »

La sécurité est au cœur de tout ce que nous faisons chez Sophos. Toutes les équipes de développement suivent le Sophos Secure Development Lifecycle (SSDLC), une série de mesures et de rôles qui garantissent que toutes les solutions sont construites de manière sécurisée et efficace.
- Nous mesurons et améliorons continuellement tous les aspects du développement sécurisé de produits à l’aide du modèle Open Software assurance Maturity Model (OpenSAMM).
- Nous utilisons des outils de test de sécurité des applications de pointe dans le cadre des processus de développement et de publication des produits.
- Les outils de balayage de code et de fuzzing (ou test à données aléatoires) analysent le code avant le déploiement.
- Nous suivons et gérons soigneusement l’utilisation de composants tiers pour nous assurer que toute vulnérabilité peut être corrigée rapidement.
- L’équipe de sécurité de Sophos travaille main dans la main avec les équipes de développement pour s’assurer que nos solutions sont défendues contre les menaces de sécurité internes et externes.
L’ensemble du processus de développement se déroule dans un environnement favorable et fiable. Les systèmes de construction (y compris les pipelines CI/CD) sont traités comme des produits matures et une gestion adéquate des clés de bout en bout garantit une grande valeur et intégrité des signatures numériques. Nos équipes sont habilitées à répondre à tout type de vulnérabilité ou de faiblesse présente dans l’environnement, le service ou la conception du produit, ainsi que dans la mise en œuvre du produit.
SSDLC intégré dans un environnement de confiance
Notre objectif est toujours de fournir à nos clients des produits et services sécurisés. Le cycle de vie de développement sécurisé de Sophos fournit le cadre pour toutes les activités de développement de produits. Nous intégrons les exigences de sécurité dans nos processus de gestion des produits et nous mettons tout en œuvre pour créer un environnement fiable et sécurisé. Cela nous permet de réagir rapidement et efficacement à toute vulnérabilité.
Chaîne de contrôle sécurisée
Nomenclature des logiciels
Dans le cadre de notre processus SSDLC, nous collectons et maintenons une nomenclature des logiciels pour tous les composants open source et tiers dans la plupart de nos bases de codes de produits. Cela nous permet de trier et d’identifier tout impact potentiel des vulnérabilités émergentes dans les compléments tiers inclus dans nos produits. Ces nomenclatures nous permettent également de garantir à nos clients que nos produits ne contiennent que des composants à jour et exempts de vulnérabilités.
Pour certains produits, Sophos peut fournir des copies de nos nomenclatures logicielles sur demande. Pour plus de détails, veuillez nous contacter par courriel à sbom@sophos.com.