Seguridad en el desarrollo de software en Atlassian


¿Cómo encaja la seguridad en el ciclo de vida del desarrollo de software de Atlassian?

Los procesos de metodología ágil no suelen tener fases de SDLC (ciclo de vida de desarrollo de software) distintas, lo que limita la superposición de los enfoques tradicionales más antiguos para regular las publicaciones a través de controles de seguridad.

Al mismo tiempo, los flujos de trabajo de metodología ágil nos permiten arreglar cualquier vulnerabilidad de forma rápida, especialmente en nuestros servicios en la nube. Disponemos de una estricta política interna de plazos para la corrección de cualquier incidencia de seguridad que se haya encontrado.

¿Qué revisiones de seguridad se realizan antes de la publicación de código nuevo?

No llevamos a cabo ninguna revisión de estilo "compuerta", sino que evaluamos de manera continua la seguridad de todos nuestros productos.

Los desarrolladores realizan revisiones del código periódicamente, antes y después de la confirmación en algunos casos, aunque estas revisiones no están específicamente dirigidas a la seguridad. El equipo de seguridad de Atlassian realiza revisiones de código específicas de forma periódica, de forma manual y con herramientas. De vez en cuando, contratamos auditores externos para hacer revisiones de código de seguridad de amplio alcance para todos nuestros productos.

También tenemos un compromiso de pruebas continuas con un tercero independiente para los productos de Atlassian Cloud y tenemos en cuenta cualquier hallazgo para aplicarlo a nuestro proceso de desarrollo.

¿Qué métodos se utilizan para protegerse contra los ataques comunes de las aplicaciones web (XSS, SQL Injection, CSRF, etc.)?

Esto depende del producto. Algunas funciones son para múltiples productos, otras no. Este artículo, Protección de tu complemento, que forma parte del plan de estudios de los desarrolladores, describe algunos de los controles entre productos.