OWASP (Open Web Application Security Project) to organizacja, której misją jest poprawa bezpieczeństwa aplikacji internetowych. W tym celu, organizacja tworzy i rozwija standardy i wytyczne dotyczące tworzenia oprogramowania oraz testów penetracyjnych.
W zeszłym tygodniu (7 maja) OWASP wydał zestawienie dziesięciu najistotniejszych zaleceń, które powinny być uwzględnione podczas tworzenia aplikacji:
- Zdefiniuj wymagania bezpieczeństwa (C1: Define Security Requirements).
- Korzystaj z frameworków i bibliotek bezpieczeństwa (C2: Leverage Security Frameworks and Libraries).
- Zabezpiecz dostęp do bazy danych (C3: Secure Database Access).
- Stosuj kodowanie i znaki ucieczki dla przetwarzanych danych (C4: Encode and Escape Data).
- Prowadź walidacje wszystkich danych wejściowych (C5: Validate All Inputs).
- Zaimplementuj cyfrową tożsamość (C6: Implement Digital Identity).
- Wymuszaj kontrolę dostępu (C7: Enforce Access Controls).
- Chroń dane gdziekolwiek się znajdują (C8: Protect Data Everywhere).
- Loguj i monitoruj zdarzenia bezpieczeństwa (C9: Implement Security Logging and Monitoring).
- Obsługuj wszystkie błędy i wyjątki (C10: Handle All Errors and Exceptions).
Zalecenia te zostały opisane w dokumencie OWASP Top 10 Proactive Controls 2018 wraz z przykładami podatności, którym można zapobiec, stosując się do nich. Top 10 Proactive Controls stanowi uzupełnienie standardu ASVS (Application Security Verification Standard), który zawiera szczegółowe wymagania oraz kryteria oceny dotyczące bezpieczeństwa aplikacji.
Źródło:
Powiązane
Publikacje – cyberbezpieczeństwo
Dowiedz się więcej
Tags:
- Bezpieczeństwo systemów teleinformatycznych
- Doradztwo w obszarze IT i ryzyka
- IT w zarządzaniu
- Infrastruktura IT
- Innowacja technologiczna
- Internet
- Małe przedsiębiorstwa
- Obsługa dużych przedsiębiorstw
- Polska
- Rynki krajowe
- Rynki zagraniczne
- Technologia
- Technologia
- Zmiana technologiczna
- Średni segment rynkowy