RDCLR.DEV

Требования к безопасности веб-приложения

Большой и серьезный проект требует серьезного подхода. Факапы случаются, и одни из самых дорогостоящих для клиента — это факапы, касающиеся безопасности. Утечки личных данных пользователей, грабежи, троллинг и беспредел — это последствия невнимательности к безопасности приложения.

Есть один классный гайд — OWASP Web Security Testing Guide. В нем описаны различные уязвимости и способы защиты от них. Чтобы не получилось такой ситуации, что клиент будет вынужден заказывать полный пентест системы, а потом в панике просить залатать все найденные дыры в безопасности, в идеале пентест должен быть в течение всего жизненного цикла разработки ПО. Это означает, что любая фича должна тестироваться на потенциально имеющиеся в ней уязвимости, а не только на соответствие заданной бизнес-логике.

Что еще является хорошими практиками безопасной разработки:

0️⃣ Перед началом разработки нужно определиться с гайдлайнами, которым будет следовать команда.

1️⃣ Во время проектирования однозначно определяются требования, касающиеся механизмов аутентификации, авторизации, конфиденциальности и целостности данных, контроля сессий, соответствия стандартам и законодательству.

2️⃣ Дизайн и архитектура приложения подробно документируются для раннего выявления потенциальных уязвимостей, проработки сценариев атак и прозрачности разработки.

3️⃣ После развертывания проводятся дополнительные проверки, касающиеся метода развертывания инфраструктуры и деталей конфигурации, которые могут быть потенциально уязвимы.

4️⃣ Во время технического обслуживания и эксплуатации регулярно проводятся проверки работоспособности и health-check на предмет доступности сервисов приложения.

www.tgoop.com/rdclr_dev/177

1.7K viewsedited  Oct 4, 2022 at 09:07

Требования к безопасности веб-приложения

Большой и серьезный проект требует серьезного подхода. Факапы случаются, и одни из самых дорогостоящих для клиента — это факапы, касающиеся безопасности. Утечки личных данных пользователей, грабежи, троллинг и беспредел — это последствия невнимательности к безопасности приложения.

Есть один классный гайд — OWASP Web Security Testing Guide. В нем описаны различные уязвимости и способы защиты от них. Чтобы не получилось такой ситуации, что клиент будет вынужден заказывать полный пентест системы, а потом в панике просить залатать все найденные дыры в безопасности, в идеале пентест должен быть в течение всего жизненного цикла разработки ПО. Это означает, что любая фича должна тестироваться на потенциально имеющиеся в ней уязвимости, а не только на соответствие заданной бизнес-логике.

Что еще является хорошими практиками безопасной разработки:

0️⃣ Перед началом разработки нужно определиться с гайдлайнами, которым будет следовать команда.

1️⃣ Во время проектирования однозначно определяются требования, касающиеся механизмов аутентификации, авторизации, конфиденциальности и целостности данных, контроля сессий, соответствия стандартам и законодательству.

2️⃣ Дизайн и архитектура приложения подробно документируются для раннего выявления потенциальных уязвимостей, проработки сценариев атак и прозрачности разработки.

3️⃣ После развертывания проводятся дополнительные проверки, касающиеся метода развертывания инфраструктуры и деталей конфигурации, которые могут быть потенциально уязвимы.

4️⃣ Во время технического обслуживания и эксплуатации регулярно проводятся проверки работоспособности и health-check на предмет доступности сервисов приложения.

BY RDCLR.DEV