La prise en compte de la cyber sécurité dans les cycles de développement est une activité primordiale. Plusieurs référentiels de bonne pratique sont disponibles. Par exemple, la norme ISO 27034 fournit un cadre pour renforcer la sécurité du processus de développement. Autres exemples, le modèle BSIMM, SAMM et SSDF. SAFECode est une association internationale qui se focalise sur les bonnes pratiques visant à améliorer la sécurité dans les développements. Cette organisation publie et met à jour régulièrement son référentiel de sécurisation du cycle de développement. Comment identifier les exigences. Comment gérer les composants externes « OpenSource » ou et propriétaires. Comment gérer les problèmes de sécurité. Comment traiter les vulnérabilités découvertes dans ses applications.
Les vulnérabilités logicielles font partie des risques les plus élevés en cyber sécurité. Le référentiel BSIMM – Buiding Security in Maturity Modelest un outil intéressant pour comparer ses activités de sécurisation du cycle de développement avec les bonnes pratiques du domaine. Une étude annuelle, mise à jour depuis 2008 est menée auprès d’une centaine de grands groupes nord-américains. Cette enquête est suffisamment précise pour quantifier les activités. Le Secure SDLCfait partie du domaine 8 de la certification CISSP. Il est aussi abordé dans les certifications de sécurité Cloud. Cela rejoint aussi les bonnes pratiques C-SCRM en termes de sécurité de la sous-traitance et normes ISO 27034 sur la sécurisation des applications. D'autres référentiels comme SAMM, SAFEcode et SSDF sont régulièrement utilisés.
Les failles de développement restent le talon d’Achille de la cybersécurité. Plusieurs référentiels visant à définir des bonnes pratiques à intégrer dans un cycle de développement sont disponibles. La norme ISO 27034 fournit un cadre organisationnel. Autres exemples de référentiels régulièrement utilisés : BSIMM, SSDF et SAFECode. Le modèle SAMM de l'OWASP est un modèle prescriptif, ouvert et mesurable. Il permet aussi bien d’évaluer ou d’auditer ses pratiques en sécurité des logiciels que d’élaborer un programme ou une feuille de route de développement sécurisé.
