開発者は、開発用途の特定のアプリケーションに制限する必要がありますか?
ほとんどの場合、答えは、開発チームが問題にならないと同意する限りです。
セキュリティ認証の監査を受けている企業にとって、企業のリスクと開発者の柔軟性、パフォーマンスのバランスをとる方法はありますか?
範囲
- コーディング/開発ソフトウェア
- ビルド システム ソフトウェア
- ディストリビューションに含まれるサードパーティ ソフトウェア (ライブラリ、ユーティリティ)
- (追加)ワークステーション上の残りのソフトウェア
可能な解決策
承認されたソフトウェアのホワイト リストを作成します。開発者は、使用する前に目的のソフトウェアの承認を求める必要があります。承認は、ビジネス目的/セキュリティ リスクに基づいて行われます。
ソフトウェアのブラックリストを作成します。開発者は、使用されているすべてのソフトウェアをリストします。審査委員会は定期的にリストを調べます。
チームの設定を超えて開発者ツールを制限する会社で働かなければならなかった人はいますか? 彼らはどのように状況を処理しましたか?
編集
質問を整理しました。議論を少なくしようとしました。