Progettazione sicura

backgroud-texture-bg

Per Sophos, la sicurezza è l’elemento centrale di ogni nostra attività. Tutti i team di sviluppo seguono il Sophos Secure Development Lifecycle (SSDLC, Ciclo di vita dello sviluppo sicuro Sophos), una serie di attività e ruoli che garantiscono che tutte le soluzioni vengano progettate con la massima sicurezza ed efficienza.

  • Misuriamo e miglioriamo continuamente tutti gli aspetti dello sviluppo sicuro dei prodotti, con l’aiuto dell’Open Software Assurance Maturity Model (OpenSAMM).
  • Utilizziamo i più moderni strumenti di valutazione della sicurezza delle applicazioni nell’ambito dei processi di sviluppo e rilascio dei prodotti.
  • Gli strumenti di scansione del codice e fuzzing analizzano il codice prima della distribuzione.
  • Monitoriamo e gestiamo attentamente l’utilizzo di componenti di terze parti, per assicurare la rapida eliminazione di eventuali vulnerabilità.
  • Il team di sicurezza di Sophos lavora a stretto contatto con i team di sviluppo, per garantire alle nostre soluzioni massima protezione contro minacce di sicurezza interne ed esterne.

L’intero processo di sviluppo si svolge in un ambiente che promuove la collaborazione e la fiducia. I sistemi di compilazione (incluse le pipeline di CI/CD) vengono considerati prodotti maturi e un’adeguata gestione end-to-end delle chiavi assicura il valore e l’integrità delle firme digitali. I nostri team hanno le competenze e gli strumenti necessari per rispondere a qualsiasi tipo di vulnerabilità o punto debole presente negli ambienti, nei servizi o nel design dei prodotti, anche in fase di implementazione.

SSDLC integrato in un ambiente attendibile
 

Sophos Secure Development Diagram


Il nostro obiettivo è offrire sempre prodotti e servizi sicuri ai clienti. Il Sophos Secure Development Lifecycle è il framework su cui si basano tutte le attività di sviluppo dei nostri prodotti. Integriamo requisiti di sicurezza nei nostri processi di gestione dei prodotti e facciamo di tutto per creare un ambiente attendibile e sicuro. Questa strategia ci permette di rispondere a qualsiasi vulnerabilità in maniera rapida ed efficiente.

Catena di custodia sicura
 

Secure Chain if Custody

Distinta dei materiali del software (SBOM)

Nell’ambito del nostro processo SSDLC, raccogliamo e gestiamo una Distinta dei materiali del software per tutti i componenti open source e di terze parti inclusi nelle codebase di molti dei nostri prodotti. Questo ci permette di identificare le vulnerabilità emergenti presenti nei componenti di terze parti utilizzati nei nostri prodotti, e di assegnarvi la giusta priorità in base al potenziale impatto. La Distinta dei materiali del software ci permette inoltre di rassicurare i nostri clienti, con la garanzia che i nostri prodotti contengono solo componenti aggiornati e privi di vulnerabilità.

Per prodotti selezionati, Sophos può fornire su richiesta copie delle nostre Distinte dei materiali dei software. Per ulteriori dettagli, mettiti in contatto con noi, inviando un’e-mail all’indirizzo: sbom@sophos.com.