Әзірлеудің өмірлік циклін қамтамасыз ету бойынша ұсыныстар
Осы Power Platform Жақсы сәулеттелген қауіпсіздік бақылау тізімі ұсынысына қолданылады:
| SE:02 | Күшейтілген, негізінен автоматтандырылған және тексерілетін бағдарламалық қамтамасыз етуді жеткізу тізбегін пайдалану арқылы қауіпсіз дамудың өмірлік циклін сақтаңыз. Қауіпсіздікті бұзатын енгізулерден қорғау үшін қауіп модельдеуді пайдалану арқылы қауіпсіз дизайнды қосыңыз. |
|---|
Бұл нұсқаулық әзірлеу циклі бойына қауіпсіздіктің ең жақсы тәжірибелерін қолдану арқылы кодты және әзірлеу ортасын қорғауға арналған ұсыныстарды сипаттайды.
Жұмыс жүктемесінің негізінде бизнес логикасын жүзеге асыратын құрамдас бөліктер жатады. Бұл компоненттер кенеп қолданбалары мен ағындар сияқты төмен кодты элементтердің және плагиндер сияқты бірінші кодты элементтердің қоспасы болуы мүмкін. Құпиялықты, тұтастықты және қолжетімділікті қамтамасыз ету үшін жұмыс жүктемесін құрайтын барлық құрамдастарда қауіпсіздік ақаулары болмауы керек.
Инфрақұрылымдық ұшақты сәйкестендіру және желілік басқару элементтерімен қамтамасыз ету маңызды, бірақ бұл жеткіліксіз. Жалпы қауіпсіздік ұстанымыңызды нығайту үшін Power Platform жұмыс жүктемелерінің нашар орындалуын және сол жұмыс жүктемелеріндегі бұзылған әрекеттерді болдырмаңыз. Қауіпсіздікті әзірлеудің өмірлік цикліне біріктіру процесі шын мәнінде қатайту процесі болып табылады. Ресурстарды қатайту сияқты, кодты әзірлеуді күшейту де контекстік-агностикалық болып табылады. Қолданбаның функционалдық талаптарына емес, қауіпсіздікті арттыруға басты назар аударылады.
Анықтамалар
| Термин | Анықтама |
|---|---|
| Қауіпсіздікті дамытудың өмірлік циклі (SDL) | Қауіпсіздікті қамтамасыз ету және сәйкестік талаптарын қолдайтын Microsoft ұсынған тәжірибелер жиынтығы. |
| Бағдарламалық жасақтаманы әзірлеудің өмірлік циклі (SDLC) | Бағдарламалық жүйелерді әзірлеудің көп сатылы, жүйелі процесі. |
Негізгі дизайн стратегиялары
Қауіпсіздік шаралары мыналарды қамтамасыз ету үшін бағдарламалық жасақтаманы әзірлеудің бар өмірлік цикліне (SDLC) бірнеше нүктелерде біріктірілуі керек:
- Дизайнды таңдау қауіпсіздік кемшіліктеріне әкелмейді.
- Төмен кодты және бірінші кодты құрамдас бөліктер, сондай-ақ конфигурация эксплуатациялық енгізу және дұрыс емес кодтау тәжірибелеріне байланысты осалдықтарды жасамайды.
- Төмен кодты және бірінші кодты құрамдас бөліктер мен орналастыру процестері қолданылмайды.
- Оқиғалар арқылы анықталған осалдықтар азайтылады.
- Сәйкестік талаптары бұзылмайды немесе азайтылмайды.
- Аудитті тіркеу барлық орталарда жүзеге асырылады.
Келесі бөлімдер SDLC жиі қолданылатын кезеңдері үшін қауіпсіздік стратегияларын қамтамасыз етеді.
Талаптар кезеңі
Талаптар кезеңінің мақсаты жұмыс жүктемесіне немесе жұмыс жүктемесінің жаңа мүмкіндігіне функционалды және функционалды емес талаптарды жинау және талдау болып табылады. Бұл кезең маңызды, себебі ол жұмыс жүктемесінің мақсаттарына бейімделген қоршауларды құруды жеңілдетеді. Деректерді және жұмыс жүктемеңіздің тұтастығын қорғау әзірлеудің өмірлік циклінің әрбір кезеңінде негізгі талап болуы керек.
Мысалы, пайдаланушылар қолданбаға деректерді енгізетін және өзгертетін жұмыс жүктемесін қарастырыңыз. Қауіпсіздік дизайны таңдаулары пайдаланушының деректермен әрекеттесуіне қатысты кепілдіктерді қамтуы керек, мысалы, түпнұсқалығын растау және авторизациялау және деректерде тек рұқсат етілген әрекеттерге рұқсат беру. Функционалды емес талаптар қол жетімділікті, пайдалану мүмкіндігін және техникалық қызмет көрсетуді қамтиды. Қауіпсіздік таңдаулары сегменттеу шекараларын, брандмауэрдің кіруі мен шығуын және басқа да тоғысқан қауіпсіздік мәселелерін қамтуы керек.
Барлық осы шешімдер жұмыс жүктемесінің қауіпсіздік жағдайын жақсы анықтауға әкелуі керек. Қауіпсіздік талаптарын келісілген спецификацияда құжаттаңыз және оларды кешіктірілген тізімде көрсетіңіз. Құжатта қауіпсіздікке салынатын инвестициялар, егер инвестицияларды мүдделі тараптар мақұлдамаса, бизнес қабылдауға дайын болатын сауда-саттық пен тәуекелдер анық көрсетілуі керек. Мысалы, тек рұқсат етілген IP орындарына Power Platform қол жеткізуді шектеу арқылы ұйымдық деректеріңізді қорғау үшін Dataverse орталарда IP брандмауэрін пайдалану қажеттілігін құжаттай аласыз. Егер бизнес мүдделі тараптар басқарылатын орталар сияқты шешімді пайдаланудың қосымша құнын көтергісі келмесе, олар кофехана сияқты қоғамдық орындардан ұйымдық ресурстарға қол жеткізу қаупін қабылдауға дайын болуы керек. Басқа мысал ретінде қолданбаңыз үшінші тарап деректер көзі қосылуы керек деп елестетіңіз. Power Platform бұл үшін дайын қосқыш болуы мүмкін, бірақ ол қауіпсіздік топтары бекіткен аутентификация талаптарын қолдамауы мүмкін. Бұл жағдайда сіздің қауіпсіздік мүдделі тараптарыңыз расталмаған аутентификация әдісін пайдалану қаупін қабылдауға дайын болуы мүмкін. Немесе, өңдеу уақытының ұзаруы мен жобаның ықтимал кешігуінің артықшылықтарын өлшей отырып, теңшелетін қосқышты пайдалану арқылы зерттеуге болады.
Қауіпсіздік талаптарын жинау осы кезеңнің маңызды бөлігі болып табылады. Бұл күш-жігерсіз жобалау және іске асыру кезеңдері анықталмаған таңдауларға негізделеді, бұл қауіпсіздік олқылықтарына немесе әзірлеу уақытын ұзартатын талаптардың өзгеруіне әкелуі мүмкін. Қауіпсіздікті қамтамасыз ету үшін кейінірек енгізуді өзгерту қажет болуы мүмкін, бұл қымбат болуы мүмкін.
Жобалау кезеңі
Бұл кезеңде қауіпсіздік талаптары техникалық талаптарға түрлендіріледі. Техникалық спецификацияңызда іске асыру кезінде түсініксіздікке жол бермеу үшін барлық дизайн шешімдерін құжаттаңыз. Міне, кейбір типтік тапсырмалар:
Архитектураның қауіпсіздік өлшемін анықтаңыз. Архитектураны қауіпсіздік басқару элементтерімен қабаттастырыңыз. Мысалы, желіні оқшаулау шекараларында практикалық болатын басқару элементтері, жұмыс жүктемесінің құрамдастары үшін қажетті сәйкестіктер түрлері мен аутентификация әдістері және қолданылатын шифрлау әдістерінің түрі.
Платформа ұсынатын мүмкіндіктерді бағалаңыз. түсіну маңызды сіз бен арасындағы жауапкершілікті бөлу Power Platform. Қайталанудан немесе қайталанудан аулақ болыңыз Power Platform жергілікті қауіпсіздік бақылаулары. Сіз жақсырақ қауіпсіздікті қамтамасыз етесіз және әзірлеу ресурстарын қолданбаның қажеттіліктеріне қарай қайта бөле аласыз.
Мысалы, қолданбалар мен ағындардағы мақұлданбаған пайдалану үлгілерін реактивті түрде анықтайтын және ескертетін теңшелетін логиканы жасаудың орнына қосқыштарды қалай пайдалануға болатынын санаттау үшін Деректердің жоғалуын болдырмау саясаттарын пайдаланыңыз.
Тек сенімді анықтамалық енгізулерді, үлгілерді, код құрамдастарын, сценарийлерді және кітапханаларды таңдаңыз. Сіздің дизайныңыз қауіпсіз нұсқаны басқаруды да көрсетуі керек. Қолданбаға тәуелділік сенімді тараптардан алынуы керек. Үшінші тарап жеткізушілері сіздің қауіпсіздік талаптарыңызға сай болуы керек және олардың жауапты ашу жоспарымен бөліседі. Кез келген қауіпсіздік оқиғасы қажетті шараларды қабылдау үшін дереу хабарлануы керек. Сондай-ақ, белгілі бір кітапханаларға немесе анықтамалық енгізулерге ұйымыңыз тыйым салуы мүмкін. Мысалы, ол қауіпсіз және осалдықтары жоқ болса да, әлі де рұқсат етілмеуі мүмкін, себебі ол ұйымыңыз әлі мақұлдамаған мүмкіндіктерді, лицензиялық шектеулерді немесе анықтамалық енгізудің қолдау үлгісін пайдаланады.
Осы нұсқаулықтың орындалуын қамтамасыз ету үшін бекітілген және/немесе мақұлданбаған құрылымдардың, кітапханалардың және жеткізушілердің тізімін жүргізіңіз және жасаушыларыңыз бұл тізіммен таныс екеніне көз жеткізіңіз. Мүмкіндігінше тізімді қолдау үшін әзірлеу құбырларына қоршауларды қойыңыз. Мүмкіндігінше, осалдықтарға тәуелділіктерді сканерлеу үшін құралдарды пайдалануды автоматтандырыңыз.
Қолданба құпияларын қауіпсіз сақтаңыз. Қолданбаңыз пайдаланатын қолданба құпияларын және алдын ала ортақ кілттерді пайдалануды қауіпсіз орындаңыз. Тіркелгі деректері мен қолданба құпиялары ешқашан жұмыс жүктемесінің бастапқы кодында (қолданба немесе ағын) сақталмауы керек. Бастапқы код әлеуетті шабуылдаушы үшін қолжетімді болса, одан әрі рұқсат алу мүмкін болмайтынына көз жеткізу үшін Azure Key Vault сияқты сыртқы ресурстарды пайдаланыңыз.
Деректеріңізге қауіпсіз қосылыңыз. Күшті қауіпсіздік мүмкіндіктерін пайдаланыңыз Microsoft Dataverse рөлге негізделген және баған деңгейіндегі қауіпсіздік сияқты деректеріңізді қорғауды ұсынады. Басқа деректер көздері үшін қауіпсіз аутентификация әдістері бар қосқыштарды пайдаланыңыз. Пайдаланушы аты мен құпия сөзді қарапайым мәтінде сақтайтын сұраулардан аулақ болыңыз. Теңшелетін қосқыштарды жасау үшін HTTP қолданбаңыз.
Соңғы пайдаланушылардың жұмыс жүктемесі мен деректермен қалай әрекеттесетінін анықтаңыз. Пайдаланушылардың деректерге тікелей қол жеткізе алатынын, оларға рұқсаттың қандай деңгейін қажет ететінін және деректерге қай жерден қол жеткізе алатынын қарастырыңыз. Қолданбалар соңғы пайдаланушылармен қалай ортақ болатынын ойлаңыз. Қолданбаға және деректерге кіруге мұқтаж адамдар ғана қол жеткізе алатынына көз жеткізіңіз. Қауіпсіздік блокаторларын болдырмау үшін уақытша шешімдерді ынталандыратын күрделі қауіпсіздік үлгілерінен аулақ болыңыз.
Қатты кодтаудан аулақ болыңыз. URL мекенжайлары мен кілттерді қатаң кодтаудан аулақ болыңыз. Мысалы, URL мекенжайын немесе серверлік қызмет кілтін Power Automate HTTP әрекетінде қатты кодтаудан аулақ болыңыз. Оның орнына реттелетін қосқышты пайдаланыңыз немесе URL мекенжайы үшін орта айнымалы мәнін және API кілті үшін Azure Key Vault пайдаланыңыз.
Тест жоспарларын анықтау. Қауіпсіздік талаптары үшін нақты сынақ жағдайларын анықтаңыз. Құбырларыңызда сол сынақтарды автоматтандыру мүмкіндігін бағалаңыз. Егер сіздің командаңызда қолмен тестілеуге арналған процестер болса, сол сынақтарға арналған қауіпсіздік талаптарын қосыңыз.
Ескертпе
Осы кезеңде қауіпті модельдеуді орындаңыз. Қауіпті модельдеу дизайн таңдауларының қауіпсіздік талаптарына сәйкес келетінін растай алады және азайту керек олқылықтарды көрсетеді. Егер сіздің жұмыс жүктемеңіз өте құпия деректерді өңдейтін болса, қауіптерді модельдеуге көмектесетін қауіпсіздік мамандарына ақша салыңыз.
Қауіпті модельдеудің бастапқы жаттығуы бағдарламалық жасақтаманың архитектурасы мен жоғары деңгейлі дизайны анықталған кезде жобалау кезеңінде орындалуы керек. Оны осы кезеңде орындау ықтимал қауіпсіздік мәселелерін жүйе құрылымына енгізбес бұрын анықтауға көмектеседі. Дегенмен, бұл жаттығу бір реттік әрекет емес. Бұл бағдарламалық жасақтаманың эволюциясы бойы жалғасуы тиіс үздіксіз процесс.
Қосымша ақпарат алу үшін қараңыз Қауіпті талдау бойынша ұсыныстар.
Әзірлеу және сынау кезеңі
Бұл кезеңнің мақсаты қауіпсіздік ақауларының алдын алу және кодта, құрастыру және орналастыру құбырларында бұрмалану болып табылады.
Қауіпсіз кодтық тәжірибеде жақсы оқытыңыз
Әзірлеу тобында қауіпсіз кодтау тәжірибесі бойынша оқыту керек. Мысалы, әзірлеушілер Microsoft Dataverse ең аз артықшылықты қауіпсіздік үлгісін енгізу үшін қауіпсіздік тұжырымдамаларымен, сенімді домендерге ендіруді шектеу үшін үлгіге негізделген қолданбаларға арналған мазмұн қауіпсіздік саясаттарымен және қосқыш/жергілікті шлюз аутентификациясымен таныс болуы керек. әдістері.
Әзірлеушілерден Power Platform жұмыс жүктемелерімен жұмысты бастамас бұрын осы тренингті аяқтау талап етілуі керек.
Үздіксіз оқуды ынталандыру үшін ішкі әріптестік код шолуларын орындаңыз.
Кодты талдау құралдарын пайдаланыңыз
Шешім тексеру құралын Power Platform ресурстар үшін пайдалану керек және кез келген дәстүрлі кодтың бастапқы кодын кодта тіркелгі деректерінің болуын қоса, ықтимал қауіпсіздік кемшіліктеріне тексеруге болады. Бастапқы код пен конфигурация файлдарындағы тіркелгі деректері мен құпия экспозицияның ықтимал даналарын анықтаңыз. Бұл қосылым тіркелгі деректерінің өндірісте қалай өңделетінін қараудың жақсы уақыты.
Қатты сынауды орындаңыз
Осалдықтарды тексеру және қателерді өңдеуді растау үшін дұрыс емес және күтпеген деректерді пайдаланыңыз, әсіресе шешімдерді қамтитын маңызды Power Pages.
Тек жеткілікті кодты жазыңыз
Код ізін азайтқанда, қауіпсіздік ақауларының пайда болу мүмкіндігін де азайтасыз. Кодты қайталаудың орнына бұрыннан бар және қауіпсіздік тексерісінен өткен код пен кітапханаларды қайта пайдаланыңыз. Ашық бастапқы бағдарламалық жасақтаманы анықтау және нұсқаны, осалдықты және заңды міндеттемелерді тексеру. Ашық бастапқы Power Platform ресурстардың саны өсуде, сондықтан оны елемеуге болмайды. Мүмкіндігінше, соңғы минуттық мәселелерді болдырмау үшін оны жобалау кезеңінде талқылау керек.
Әзірлеуші орталарын қорғаңыз
Әсер етудің алдын алу үшін әзірлеуші жұмыс станциялары күшті желі және сәйкестікті басқару элементтерімен қорғалуы керек. Қауіпсіздік жаңартулары мұқият қолданылғанын тексеріңіз.
Бастапқы код репозиторийі де қорғалуы керек . Білу қажет негізде код репозиторийлеріне рұқсат беріңіз және шабуылдарды болдырмау үшін осалдықтарды мүмкіндігінше азайтыңыз. Қауіпсіздік осалдықтары бар-жоғын кодты қарап шығудың мұқият процесіне ие болыңыз. Осы мақсат үшін қауіпсіздік топтарын пайдаланыңыз және бизнес негіздемесіне негізделген бекіту процесін орындаңыз.
Қауіпсіз кодты орналастыру
Тек кодты қорғау жеткіліксіз. Егер ол пайдалануға болатын құбыр желілерінде жұмыс істесе, барлық қауіпсіздік әрекеттері нәтижесіз және толық емес. Құрастыру және шығару орталары да қорғалуы керек себебі нашар актерлердің құбырыңызда зиянды кодты іске қосуына жол бермеу керек.
Қолданбаңызға біріктірілген әрбір құрамдастың жаңартылған түгендеуін жүргізіңіз
Қолданбаға біріктірілген әрбір жаңа компонент шабуыл бетін арттырады. Жаңа құрамдас бөліктер қосылған немесе жаңартылған кезде тиісті жауапкершілік пен ескертуді қамтамасыз ету үшін сізде осы құрамдастардың тізімі болуы керек. Тұрақты негізде манифестіңіз құрастыру процесіндегі нәрсеге сәйкес келетінін тексеріңіз. Бұл артқы есіктерді немесе басқа зиянды бағдарламаларды қамтитын жаңа құрамдастардың күтпеген жерден қосылмауын қамтамасыз етеді.
Орналастыруларыңыз үшін Pipelines for Power Platform пайдалануды ұсынамыз. GitHub әрекеттерін пайдаланып құбырларды кеңейтіңіз. GitHub жұмыс үрдістерін пайдалансаңыз, Microsoft авторлық тапсырмаларды таңдаңыз. Сондай-ақ, тапсырмаларды растаңыз, себебі олар құбырыңыздың қауіпсіздік контекстінде орындалады.
Орналастыру үшін қызмет негізгілерін пайдалануды зерттеңіз.
Өндіріс кезеңі
Өндіріс кезеңі көрсетеді қауіпсіздік кемшіліктерін жоюдың соңғы жауапты мүмкіндігі. Өндірісте шығарылған алтын кескіннің жазбасын сақтаңыз.
Нұсқаланған артефактілерді сақтаңыз
Барлық орналастырылған активтер мен олардың нұсқаларының каталогын сақтаңыз. Бұл ақпарат оқиғаны анықтау кезінде, мәселелерді жеңілдету кезінде және жүйені жұмыс күйіне қайтарғанда пайдалы. Нұсқаланған активтерді жарияланған жалпы осалдықтар мен әсерлер (CVE) ескертулерімен салыстыруға болады. Осы салыстыруларды орындау үшін автоматтандыруды пайдалану керек.
Төтенше жағдайды түзету
Сіздің автоматтандырылған құбыр желісінің дизайны икемділікке ие болуы керек тұрақты және төтенше жағдайда орналастыруды қолдайды. Бұл икемділік жылдам және жауапты қауіпсіздік түзетулерін қолдау үшін маңызды.
Шығарылым әдетте бірнеше бекіту қақпаларымен байланысты. Қауіпсіздікті түзетуді жеделдету үшін төтенше жағдай процесін жасауды қарастырыңыз. Процесс командалар арасындағы байланысты қамтуы мүмкін. Құбыр тұрақты орналастыру өмірлік циклінен тыс орын алатын қауіпсіздік түзетулерін, маңызды қателерді және код жаңартуларын қарастыратын жылдам алға жылжыту және кері орналастыруға мүмкіндік беруі керек.
Ескертпе
Ыңғайлылықтан гөрі қауіпсіздікті түзетуге әрқашан басымдық беріңіз. Қауіпсіздікті түзету регрессияны немесе қатені енгізбеуі керек. Төтенше жағдай құбыры арқылы жөндеуді жылдамдатқыңыз келсе, қандай автоматтандырылған сынақтарды айналып өтуге болатынын мұқият қарастырыңыз. Әрбір сынақтың мәнін орындау уақытына қатысты бағалаңыз. Мысалы, бірлік сынақтары әдетте тез аяқталады. Интеграция немесе түпкілікті сынақтар ұзақ уақыт бойы жұмыс істей алады.
Әртүрлі орталарды бөлек ұстаңыз
Өндіріс деректері төменгі орталарда пайдаланылмауы керек** себебі бұл орталарда өндірістегідей қатаң қауіпсіздік бақылаулары болмауы мүмкін. Өндірістік емес қолданбадан өндірістік дерекқорға қосылуды болдырмаңыз және өндірістік емес құрамдастарды өндірістік желілерге қосудан аулақ болыңыз.
Прогрессивті экспозицияны қолданыңыз
Прогрессивті әсер етуді пайдаланыңыз мүмкіндіктерді пайдаланушылар жиынына шығару таңдалған критерийлерге негізделген. Мәселелер болса, сол пайдаланушыларға әсер барынша азайтылады. Бұл тәсіл жалпы тәуекелді азайту стратегиясы болып табылады, себебі ол бетінің ауданын азайтады. Мүмкіндік жетілген сайын және қауіпсіздік кепілдіктеріне деген сенімділігіңіз артқан сайын, оны пайдаланушылардың кеңірек тобына біртіндеп шығаруға болады.
Техникалық қызмет көрсету кезеңі
Бұл кезеңнің мақсаты қауіпсіздік күйінің уақыт өте келе бұзылмайтынына көз жеткізу. SDLC - бұл үздіксіз процесс. Алдыңғы кезеңдерде қарастырылған тұжырымдамалар осы кезеңге қолданылады, себебі талаптар уақыт өте келе өзгереді.
Үздіксіз жетілдіру. Кодты шолуларды, кері байланысты, алынған сабақтарды және дамып келе жатқан қауіптерді, сондай-ақ қол жетімді жаңа мүмкіндіктерді ескере отырып, бағдарламалық жасақтаманы әзірлеу процесінің қауіпсіздігін үнемі бағалаңыз және жақсартыңыз Power Platform.
Ескірген немесе енді пайдаланылмайтын ескі активтер пайдаланудан шығарылады. Бұл қолданбаның бетінің ауданын азайтады.
Техникалық қызмет көрсету оқиғаларды түзетуді де қамтиды. Өндірісте мәселелер табылса, олар қайталанбауы үшін оларды тез арада процеске қайта қосу керек.
Қауіп ландшафтына ілесу үшін қауіпсіз кодтау тәжірибелеріңізді үнемі жетілдіріңіз.
SDL ішінде Microsoft Power Platform
Power Platform бағдарламасы қауіпсіз дизайн мәдениеті мен әдістемесіне негізделген. Мәдениет пен әдістеме Microsoft корпорациясының саладағы жетекші Қауіпсіздікті дамытудың жарамдылық кезеңі (SDL) және Қауіптерді модельдеу тәжірибелері арқылы үнемі күшейтіліп отырады.
Қауіптерді модельдеуді шолу процесі қауіптерді жобалау кезеңінде анықтауды, олардың азайтылғанына көз жеткізу үшін азайтуды және тексеруді қамтамасыз етеді.
Сонымен қатар қауіпті модельдеу үздіксіз тұрақты шолулар арқылы бұрыннан бар қызметтердегі барлық өзгерістерді де есепке алады. STRIDE үлгісі қауіпсіз дизайнмен байланысты жиі кездесетін мәселелерді шешуге көмектеседі.
Microsoft корпорациясының SDL нұсқасы OWASP бағдарламалық қамтамасыз ету кепілдігі моделінің (SAMM) баламасы болып табылады. Екеуі де қауіпсіз дизайн веб-бағдарлама қауіпсіздігінің ажырамас бөлігі болып табылатын негізде құрылған. Қосымша ақпарат алу үшін OWASP-тің 10 негізгі тәуекелдері: Power Platform бөлімінен қараңыз.
Power Platform жеңілдету
Microsoft Security Development Lifecycle (SDL) әзірлеудің өмірлік цикліне қолдануға болатын қауіпсіз тәжірибелерді ұсынады. Қосымша ақпаратты Microsoft Security Development Lifecycle бөлімінен қараңыз.
Defender for DevOps және SAST (Static Application Security Testing) құралдары GitHub Advanced Security және Azure DevOps бөлігі ретінде қамтылған. Бұл құралдар ұйымыңыздың қауіпсіздік ұпайын бақылауға көмектеседі.
Шешімді тексеру құралы мүмкіндігімен шешімдерде үздік тәжірибе ережелері жинағына қарсы статикалық талдау жүргізіп, осы мәселелік үлгілерді жылдам анықтаңыз. Шешімдерді тексеру үшін шешімді тексеру құралын пайдаланыңыз.
Келесіні де қараңыз:
- Қолданбаның өмірлік циклін басқару (ALM). Microsoft Power Platform
- Power Platform платформасындағы үдерістер тізбектерінің шолуы
- үшін қолданбаның өмірлік циклін басқару Power Platform
- Solution Architect сериясы: қолданбаның өмірлік циклін басқаруды жоспарлаңыз Power Platform
- Шешімдерде ортаның айнымалы мәндерін пайдаланыңыз
- Шешімдерді тексеру үшін шешімді тексеру құралын пайдаланыңыз
Қауіпсіздікті тексеру тізімі
Ұсыныстардың толық жинағын қараңыз.