У документі Топ-10 OWASP 2017 надано рекомендації для розробників і тестувальників безпечних програмних продуктів. Аргументовано перерахуйте сім рекомендацій в порядку убування їх значущості (рівня впливу) на безпеку програмних продуктів.
Відповідь:
Використання стандартизованих безпекових контролів (Use Standard Security Controls) - використання перевірених, надійних безпекових рішень знижує ризик впровадження вразливостей. Наприклад, сучасні фреймворки мають вбудовані засоби для запобігання атакам, таким як Cross-Site Scripting (XSS) або CSRF.
Впровадження безпеки з початку розробки (Design Security from the Start) - впровадження безпеки на етапі проектування набагато ефективніше, ніж спроби виправити вразливості на пізніх етапах. Важливо визначати вимоги до безпеки на початку і проводити аналіз безпеки на кожному етапі життєвого циклу.
Проводження безперервного тестування безпеки (Continuous Security Testing) - безперервне тестування допомагає виявляти нові вразливості і гарантувати, що усі заплановані безпекові механізми працюють належним чином. Тестування повинне бути інтегроване у процеси DevOps і Agile.
Забезпечення навчання з безпеки для розробників (Educate Developers in Security) - навчання розробників практикам безпечного програмування допомагає запобігти впровадженню вразливостей з самого початку. Програми навчання мають включати актуальні методи захисту та вразливості.
Автоматизація деплойменту і процесів управління безпекою (Automate Secure Deployment and Security Management) - автоматизація допомагає зменшити ризики, пов'язані з людськими помилками під час розгортання додатків. Автоматизовані процеси можуть включати оновлення безпекових налаштувань, перевірки на вразливості та коригування доступу.
Впровадження ефективного моніторингу і журналювання (Implement Effective Logging and Monitoring) - без належного моніторингу атаки можуть залишатися непоміченими протягом тривалого часу, що дає можливість зловмисникам завдати більше шкоди. Журналювання та аналіз подій дозволяють швидко виявляти підозрілі дії.
Забезпечення повторюваних процесів управління безпекою (Establish Repeatable Security Processes) - повторювані процеси, такі як регулярні перевірки безпеки, дозволяють організаціям підтримувати належний рівень безпеки протягом усього життєвого циклу програмного продукту. Це особливо важливо для великих компаній з великою кількістю додатків.
oleksandrblazhko
commented
2 hours ago
Варіант 7
У документі Топ-10 OWASP 2017 надано рекомендації для розробників і тестувальників безпечних програмних продуктів. Аргументовано перерахуйте сім рекомендацій в порядку убування їх значущості (рівня впливу) на безпеку програмних продуктів. Відповідь:
Використання стандартизованих безпекових контролів (Use Standard Security Controls) - використання перевірених, надійних безпекових рішень знижує ризик впровадження вразливостей. Наприклад, сучасні фреймворки мають вбудовані засоби для запобігання атакам, таким як Cross-Site Scripting (XSS) або CSRF.
Впровадження безпеки з початку розробки (Design Security from the Start) - впровадження безпеки на етапі проектування набагато ефективніше, ніж спроби виправити вразливості на пізніх етапах. Важливо визначати вимоги до безпеки на початку і проводити аналіз безпеки на кожному етапі життєвого циклу.
Проводження безперервного тестування безпеки (Continuous Security Testing) - безперервне тестування допомагає виявляти нові вразливості і гарантувати, що усі заплановані безпекові механізми працюють належним чином. Тестування повинне бути інтегроване у процеси DevOps і Agile.
Забезпечення навчання з безпеки для розробників (Educate Developers in Security) - навчання розробників практикам безпечного програмування допомагає запобігти впровадженню вразливостей з самого початку. Програми навчання мають включати актуальні методи захисту та вразливості.
Автоматизація деплойменту і процесів управління безпекою (Automate Secure Deployment and Security Management) - автоматизація допомагає зменшити ризики, пов'язані з людськими помилками під час розгортання додатків. Автоматизовані процеси можуть включати оновлення безпекових налаштувань, перевірки на вразливості та коригування доступу.
Впровадження ефективного моніторингу і журналювання (Implement Effective Logging and Monitoring) - без належного моніторингу атаки можуть залишатися непоміченими протягом тривалого часу, що дає можливість зловмисникам завдати більше шкоди. Журналювання та аналіз подій дозволяють швидко виявляти підозрілі дії.
Забезпечення повторюваних процесів управління безпекою (Establish Repeatable Security Processes) - повторювані процеси, такі як регулярні перевірки безпеки, дозволяють організаціям підтримувати належний рівень безпеки протягом усього життєвого циклу програмного продукту. Це особливо важливо для великих компаній з великою кількістю додатків.