PhotoRobot SDLC sikkerhetspolicy
Dette dokumentet definerer PhotoRobot SDLC sikkerhetspolicy. Den beskriver sikkerhetskravene som gjelder gjennom hele programvareutviklingslivssyklusen hos PhotoRobot, og støtter etterlevelse av våre kontraktsforpliktelser under DPA og SLA.
Prinsipper
- Sikker etter design
- Tilgang med minste privilegier til kode og infrastruktur
- Obligatorisk kodegjennomgang
- Avhengighets- og sårbarhetshåndtering
Utviklingsarbeidsflyt
- All kode lagret i versjonskontroll
- Endringer gjennomgått via pull requests
- CI-pipelines håndhever automatiserte tester
Avhengighetshåndtering
- Vanlig sårbarhetsskanning
- Utdaterte biblioteker oppgraderte proaktivt
- Kun tillatt tillatt pålitelige pakkekilder
Bygg og utrulling
- Distribusjoner via kontrollerte CI/CD-pipelines
- Tilbakerullingsmekanismer tilgjengelig
- Revisjonslogger vedlikeholdt for utrullinger
Hemmelighetshåndtering
- Hemmeligheter lagret sikkert (Google Secret Manager)
- Ingen hardkodede hemmeligheter i arkiver
- Rotasjon håndhevet for følsomme tangenter
Testing
- Enhets-, integrasjons- og regresjonstesting
- Sikkerhetstester inkluderes når det er aktuelt
Utgivelseshåndtering
- Endringslogg vedlikeholdt
- Versjonerte utgivelser
- Kontrollerte utrullinger for større oppdateringer