Un éditeur de logiciels cherche à évaluer et améliorer la maturité de ses pratiques de sécurité logicielle. Pour atteindre cet objectif, la société envisage d’adopter un modèle de maturité adapté qui lui permettrait de mesurer et d’optimiser ses processus de développement sécurisé. Le CTO (Chief Technical Officer) examine les options disponibles pour choisir un modèle de maturité qui correspond le mieux aux besoins de son entreprise.

Quel modèle de maturité le CTO devrait-il envisager pour améliorer et évaluer de manière systématique les pratiques de sécurité dans le cycle de développement logiciel de son entreprise ?

[A] Adopter le modèle CMMi

[B] Implémenter le modèle SAMM

[C] Choisir le modèle Waterfall pour évaluer la sécurité, en utilisant sa structure linéaire pour simplifier les évaluations de maturité à chaque étape du développement

[D] Utiliser exclusivement des outils d’analyse statique de code pour évaluer la maturité des pratiques de sécurité logicielle


reponse linkedin

CBK8 Q12 LINK


Proposition [A] : Le modèle CMMi (Capability Maturity Model integration) est utile pour évaluer la maturité des processus de développement logiciel, mais il n’est pas spécifiquement axé sur la sécurité, ce qui limite son utilité pour répondre aux objectifs spécifiques de l’entreprise en termes de sécurité logicielle.

Proposition [B] : Le modèle SAMM (Software Assurance Maturity Model) est conçu pour évaluer et améliorer les pratiques de sécurité logicielle, ce qui le rend idéal pour une organisation cherchant à renforcer ses processus de développement sécurisé. Il offre une approche structurée et adaptée aux besoins spécifiques de la sécurité dans le développement logiciel.

Proposition [C] : Waterfall est une méthodologie de développement logiciel, pas un modèle de maturité. De plus la méthodologie n’est pas adaptée pour évaluer spécifiquement la maturité des pratiques de sécurité logicielle.

Proposition [D] : Bien que les outils d’analyse statique de code soient importants pour détecter les vulnérabilités, ils ne constituent pas à eux seuls une méthode complète pour évaluer la maturité des pratiques de sécurité logicielle. Se concentrer uniquement sur des outils d’analyse statique de code pour évaluer la maturité de la sécurité n’est pas une bonne approche car cela ne prend pas en compte de nombreux autres aspects essentiels de la sécurité logicielle comme par exemple les processus de développement, la formation des équipes ou encore la gestion des failles de sécurité logicielles.

La bonne réponse est la proposition [B]

tip

Pour en savoir plus sur l’intégration de la sécurité dans le développement des logiciels nous vous recommandons de suivre le modules n°20 de la formation CISSP de VERISAFE.


Questions et réponses rédigées par VERISAFE selon le programme officiel du CISSP actuellement en vigueur
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE