У документі Топ-10 OWASP 2017 надано рекомендації для розробників і тестувальників
безпечних програмних продуктів. Аргументовано перерахуйте сім рекомендацій в
порядку убування їх значущості (рівня впливу) на безпеку програмних продуктів.
1.Application Security Requirements
Чтобы создать безопасное веб-приложение, вы должны определить, что означает безопасность для этого приложения.
OWASP рекомендует использовать стандарт проверки безопасности приложений OWASP (ASVS), поскольку
руководство по настройке требований безопасности для ваших приложений. Если вы занимаетесь аутсорсингом, подумайте
Приложение к контракту на безопасное программное обеспечение OWASP.
2.Application Security Architecture
Вместо того, чтобы модернизировать безопасность ваших приложений и API, гораздо эффективнее с точки зрения затрат
спроектируйте безопасность с самого начала. OWASP рекомендует использовать шпаргалки OWASP по предотвращению
в качестве хорошей отправной точки для руководства по проектированию безопасности с самого начала.
3.Standard Security Controls
Создать надежные и удобные средства контроля безопасности сложно. Использование набора стандартных мер безопасности
радикально упрощает разработку безопасных приложений и API. Проактивная программа OWASP
Элементы управления — хорошая отправная точка для разработчиков, и многие современные платформы теперь поставляются с
стандартные и эффективные средства контроля безопасности для авторизации, проверки, CSRF и т. д.
4.Secure Development Lifecycle
Чтобы улучшить процесс, которому следует ваша организация при создании приложений и API, OWASP
рекомендует модель зрелости Software Assurance Maturance (SAMM) OWASP. Эта модель помогает
организации формулируют и реализуют стратегию безопасности программного обеспечения, адаптированную к
конкретные риски, с которыми сталкивается их организация.
5.Application Security Education
Освітній проект OWASP надає навчальні матеріали для навчання розробників Інтернету
безпека програми. Щоб отримати практичні знання про вразливості, спробуйте OWASP WebGoat,
WebGoat.NET, OWASP NodeJS Goat, OWASP Juice Shop Project або OWASP Broken Web
Проект додатків. Щоб бути в курсі подій, приходьте на конференцію OWASP AppSec, OWASP
Навчання на конференції або місцеві зустрічі відділення OWASP.
6.Understand the Threat Model
Перш ніж почати тестування, переконайтеся, що ви розумієте, на що важливо приділити час. Пріоритети
походять від моделі загроз, тож якщо у вас її немає, вам потрібно її створити перед тестуванням.
Розгляньте можливість використання OWASP ASVS і посібника з тестування OWASP як вхідних даних і не покладайтеся на інструмент
постачальникам, щоб вирішити, що важливо для вашого бізнесу.
7.Understand Your SDLC
Ваш підхід до тестування безпеки програми має бути дуже сумісним з людьми,
процеси та інструменти, які ви використовуєте в життєвому циклі розробки програмного забезпечення (SDLC). Спроби сили
додаткові кроки, шлюзи та огляди, ймовірно, спричинять тертя, їх обійдуть і будуть складні для масштабування.
Шукайте природні можливості для збору інформації про безпеку та повернення її у ваш процес.
У документі Топ-10 OWASP 2017 надано рекомендації для розробників і тестувальників безпечних програмних продуктів. Аргументовано перерахуйте сім рекомендацій в порядку убування їх значущості (рівня впливу) на безпеку програмних продуктів.
1.Application Security Requirements Чтобы создать безопасное веб-приложение, вы должны определить, что означает безопасность для этого приложения. OWASP рекомендует использовать стандарт проверки безопасности приложений OWASP (ASVS), поскольку руководство по настройке требований безопасности для ваших приложений. Если вы занимаетесь аутсорсингом, подумайте Приложение к контракту на безопасное программное обеспечение OWASP. 2.Application Security Architecture Вместо того, чтобы модернизировать безопасность ваших приложений и API, гораздо эффективнее с точки зрения затрат спроектируйте безопасность с самого начала. OWASP рекомендует использовать шпаргалки OWASP по предотвращению в качестве хорошей отправной точки для руководства по проектированию безопасности с самого начала. 3.Standard Security Controls Создать надежные и удобные средства контроля безопасности сложно. Использование набора стандартных мер безопасности радикально упрощает разработку безопасных приложений и API. Проактивная программа OWASP Элементы управления — хорошая отправная точка для разработчиков, и многие современные платформы теперь поставляются с стандартные и эффективные средства контроля безопасности для авторизации, проверки, CSRF и т. д. 4.Secure Development Lifecycle Чтобы улучшить процесс, которому следует ваша организация при создании приложений и API, OWASP рекомендует модель зрелости Software Assurance Maturance (SAMM) OWASP. Эта модель помогает организации формулируют и реализуют стратегию безопасности программного обеспечения, адаптированную к конкретные риски, с которыми сталкивается их организация. 5.Application Security Education Освітній проект OWASP надає навчальні матеріали для навчання розробників Інтернету безпека програми. Щоб отримати практичні знання про вразливості, спробуйте OWASP WebGoat, WebGoat.NET, OWASP NodeJS Goat, OWASP Juice Shop Project або OWASP Broken Web Проект додатків. Щоб бути в курсі подій, приходьте на конференцію OWASP AppSec, OWASP Навчання на конференції або місцеві зустрічі відділення OWASP. 6.Understand the Threat Model Перш ніж почати тестування, переконайтеся, що ви розумієте, на що важливо приділити час. Пріоритети походять від моделі загроз, тож якщо у вас її немає, вам потрібно її створити перед тестуванням. Розгляньте можливість використання OWASP ASVS і посібника з тестування OWASP як вхідних даних і не покладайтеся на інструмент постачальникам, щоб вирішити, що важливо для вашого бізнесу. 7.Understand Your SDLC Ваш підхід до тестування безпеки програми має бути дуже сумісним з людьми, процеси та інструменти, які ви використовуєте в життєвому циклі розробки програмного забезпечення (SDLC). Спроби сили додаткові кроки, шлюзи та огляди, ймовірно, спричинять тертя, їх обійдуть і будуть складні для масштабування. Шукайте природні можливості для збору інформації про безпеку та повернення її у ваш процес.