Що таке OWASP?

Що таке OWASP❓

OWASP — це відкритий проект по забезпеченню безпеки веб-додатків. Некомерційний, освітній, благодійний фонд, який допомагає організаціям почати проектувати, розробляти, здобувати, використовувати і підтримувати безпечне ПЗ.

OWASP не пов’язаний з жодною технологічною компанією.

Усі інструменти, документи, форуми OWASP є безкоштовними і відкритими для тих, хто зацікавлений у поліпшенні безпеки додатків. Інформування здійснюється за адресою www.owasp.org.

Топ-10 вимог до проактивного захисту ПЗ

✔️Вимоги у списку розташовуються за ступенем їх важливості, в пункті 1 зазначено саму важливу з них:

C1: Визначення загалом вимог безпеки як пріоритету
C2: Використання безпечних фреймворків і бібліотек
C3: Забезпечення безпечного доступу до баз даних
C4: Кодування та захист (екранування) даних
C5: Обов’язкова перевірка всіх вхідних даних
C6: Впровадження цифрової ідентифікації
C7: Обов’язковий контроль доступу
C8: Захист даних
C9: Впровадження журналювання і моніторингу подій безпеки
C10: Обов’язкова обробка усіх помилок і виключень

Це стандартні вимоги і є суто рекомендаціями. Хоча існує і розширений каталог додаткових вимог OWASP ASVS.

Вимоги безпеки описують функції, які необхідно реалізувати або доопрацювати для забезпечення певних параметрів безпеки ПЗ та усунення потенційних OWASP Top 10 загроз у тому числі.

Коротко, яким чином відбувається тестування? Правильно !!! Потрібно перевірити, чи виконані ці елементарні вимоги на самому початку SDLC. А потім пересвідчитись у відсутності небезпечних параметрів у вже реалізованій програмі.

Курси та події

Публікації

Відео