Sécurité du développement chez Atlassian


Comment la sécurité s'intègre-t-elle dans le cycle de vie de développement logiciel (SDLC) Atlassian ?

Les processus Agile ne présentent généralement pas de phases SDLC distinctes, ce qui empêche la superposition d'approches traditionnelles plus anciennes de « gating » (validation) des versions via des points de contrôle de sécurité.

Dans le même temps, les workflows Agile nous permettent de corriger rapidement toute vulnérabilité, en particulier dans nos services cloud. Nous appliquons une politique interne stricte en matière de délais de résolution des problèmes de sécurité détectés.

Quelles sont les analyses de sécurité réalisées avant la livraison d'un nouveau code ?

Nous n'effectuons aucune revue de type « gating » (validation), mais évaluons en permanence la sécurité de tous nos produits.

Les développeurs effectuent régulièrement des revues de code, avant et après les commits dans certains cas, bien que ces revues ne soient pas spécifiquement axées sur la sécurité. L'équipe de sécurité Atlassian effectue régulièrement des revues ciblées du code, manuelles et assistées par des outils. De temps en temps, nous faisons appel à des auditeurs tiers pour effectuer des revues de code à grande échelle afin d'assurer la sécurité de tous nos produits.

Nous recourons aux services d'un tiers indépendant pour effectuer des tests continus des produits Atlassian Cloud et nous intégrons toutes les conclusions dans notre processus de développement.

Quelles méthodes appliquons-nous pour nous protéger contre les attaques d'applications web courantes (XSS, SQL injection, CSRF, etc.) ?

Cela dépend du produit. Certaines fonctionnalités se retrouvent dans différents produits, d'autres non. Cet article, Securing your Plugin (Sécurisation de votre plug-in), qui fait partie du programme dédié aux développeurs, décrit certains des contrôles entre produits.