Що таке OWASP❓
OWASP — це відкритий проект по забезпеченню безпеки веб-додатків. Некомерційний, освітній, благодійний фонд, який допомагає організаціям почати проектувати, розробляти, здобувати, використовувати і підтримувати безпечне ПЗ.
OWASP не пов’язаний з жодною технологічною компанією.
Усі інструменти, документи, форуми OWASP є безкоштовними і відкритими для тих, хто зацікавлений у поліпшенні безпеки додатків. Інформування здійснюється за адресою www.owasp.org.
Попрацюй з цим та іншими інструментами на Mini course: Security Testing by static and dynamic analysis methods
Топ-10 вимог до проактивного захисту ПЗ
✔️Вимоги у списку розташовуються за ступенем їх важливості, в пункті 1 зазначено саму важливу з них:
C1: Визначення загалом вимог безпеки як пріоритету
C2: Використання безпечних фреймворків і бібліотек
C3: Забезпечення безпечного доступу до баз даних
C4: Кодування та захист (екранування) даних
C5: Обов’язкова перевірка всіх вхідних даних
C6: Впровадження цифрової ідентифікації
C7: Обов’язковий контроль доступу
C8: Захист даних
C9: Впровадження журналювання і моніторингу подій безпеки
C10: Обов’язкова обробка усіх помилок і виключень
Це стандартні вимоги і є суто рекомендаціями. Хоча існує і розширений каталог додаткових вимог OWASP ASVS.
Вимоги безпеки описують функції, які необхідно реалізувати або доопрацювати для забезпечення певних параметрів безпеки ПЗ та усунення потенційних OWASP Top 10 загроз у тому числі.
Коротко, яким чином відбувається тестування? Правильно !!! Потрібно перевірити, чи виконані ці елементарні вимоги на самому початку SDLC. А потім пересвідчитись у відсутності небезпечних параметрів у вже реалізованій програмі.
