Návrh inovací, sběr funkčních požadavků, jejich analýza a následná implementace, to je jen jedna oblast vývoje softwaru, kterou uživatel vnímá. Tou druhou, ne tak viditelnou, ovšem neméně důležitou, je implementace takzvaných nefunkčních požadavků. Co si pod tím můžeme představit?

Při návrhu softwarových řešení je nutné si odpovídat nejen na otázky, jak má uživatel pracovat a jaký je cíl dané funkcionality, ale je třeba zvážit i další aspekty. Třeba jaké budou požadavky na výkon, kolik uživatelů bude souběžně pracovat, jaká má být odezva systému, zda má být systém škálovatelný, jaké jsou požadavky na udržitelnost a rozvoj softwaru, jaké jsou požadavky na spravovatelnost systému…

Bezpečnost až na prvním místě

Samostatnou a velmi rozsáhlou oblastí nefunkčních požadavků jsou pak požadavky na bezpečnost systému. Každý asi ví, že hackeři způsobují ročně škody v řádech bilionů dolarů.

Jak se jim bránit a eliminovat hrozby již při vývoji softwaru?

1. Navrhnout bezpečnou architekturu.
2. Navrhnout a realizovat kódované přenosy mezi jednotlivými částmi systému.
3. Identifikovat chráněné informace a stanovit úroveň jejich ochrany.
4. Psát programátorský kód tak, aby odpovídal bezpečnostnímu standardu, například podle mezinárodní metodiky pro bezpečný vývoj softwaru – OWASP.
5. Používat jen ty kritické knihovny, které jsou certifikované podle mezinárodního standardu bezpečnosti, například FIPS.
6. Celý proces bezpečného vývoje si nechat pravidelně ověřit externím auditorem.
7. A nakonec nechat ověřit hotový produkt penetračním testem, který provede nezávislá specializovaná společnost.

myTEAM na bezpečných základech

Už při samotném návrhu architektury našeho produktu myTEAM® jsme stanovili jasné podmínky pro provoz z pohledu bezpečnosti: implementace do otevřeného prostředí (je možné k němu přistupovat odkudkoli z internetu) musí využívat zabezpečenou komunikaci mezi klientem a serverem a citlivé firemní i osobní údaje musí být chráněny jak proti útokům uvnitř organizace, tak proti hackerům zvenčí. Proškolili jsme pracovníka, který dohlíží na to, aby samotný kód byl psán podle mezinárodních bezpečnostních standardů OWASP, a kontroluje použité komponenty i napsaný kód. Všechny procesy vývoje produktu myTEAM® jsou v pravidelných ročních intervalech podrobovány externímu auditu renovované mezinárodní certifikační společnosti Bureau Veritas.

Penetrační testy proklepnou systém

Důležitým krokem pro ověření zabezpečení produktu myTEAM® bylo provedení nezávislých penetračních testů renovované společnosti AEC, která patří mezi špičku v oboru. V první části proběhl vlastní penetrační test s cílem odhalit zranitelnosti systému, a to jak z pohledu anonymního uživatele, tak z pohledu práv vstupu do systému. Vznikl velmi detailní výstup, v němž auditor popsal provedený test, metodiky a identifikoval silná i slabá místa systému. Následně byl penetrační test zopakován produktu myTEAM® bylo uděleno hodnocení „Bezpečný produkt“.

Hackeři přicházejí se stále novými formami útoků a nově identifikují slabá místa operačních systémů i technologií. Proto věnujeme otázce bezpečnosti nemalou pozornost a nabyté znalosti implementujeme do našich produktů.

Jiří Vidlář
výrobní ředitel