開発環境の内部ネットワークセキュリティポリシー
内部開発環境のネットワークセキュリティのベストプラクティスは何ですか。更新、ウイルス対策、およびファイアウォールに準拠することに加えて。
たとえば、SnortのようなIDS/IPSを使用することをお勧めしますか?発信ポートをホワイトリストに登録する必要がありますか?開発者は、特にテスト目的で、さまざまなリソースにアクセスする必要があることがよくあります。
これらのタイプの環境では、どのような種類のセキュリティ管理が見過ごされがちですか?
これは非常に幅広い質問であることを私は知っているので、ありとあらゆる答えを歓迎します。
編集:ネットワークはインターネットに接続されたLANです。
はい、ISO 27002、PCI DSS、Visible OpsSecurityなどのiSMSに従ってください。
見落とされているコントロールには、 2FA 認証と に準拠する開発者リポジトリ(GitLab、Subversion、Atlassian、Perforceなど)のTLS保護が含まれます。/SSL Labs 基準、およびバグ追跡、コードドキュメント、コードレビュー、コラボレーションなどのツールなど、アプリケーションライフサイクル管理(ALM)の他のコンポーネント。 APIキーは常に危険にさらされています。開発者は誤ってこれらをコードや.git/.svnフォルダーなどに残します。他のすべてが失敗した場合は、注意してバックアップを作成し、バックアップ計画を立ててください。
...そして覚えておいてください、世界で最高の侵入テスターはアプリではなく開発者を攻撃します- http://www.darkreading.com/attacks-breaches/tiger-team-member-attacks -developers-not-apps/d/d-id/1129737