Безопасность разработки программного обеспечения - Software development security

Часть серии по
Информационная безопасность
Связанные категории безопасности
Автомобильная безопасность Киберпреступность Киберсекс трафик Компьютерное мошенничество Кибервойна Интернет-безопасность Мобильная безопасность Сетевая безопасность
Угрозы
Постоянная угроза повышенной сложности Задняя дверь Компьютерное преступление Вирусы Отказ в обслуживании Подслушивание Использовать Кейлоггеры Логические бомбы Вредоносное ПО Полезная нагрузка Фишинг Программы-вымогатели Руткит Скребки экрана Шпионское ПО троянский конь Уязвимость Веб-оболочки Безопасность веб-приложений черви SQL-инъекция
Защиты
Контроль доступа к компьютеру Безопасность приложений Антивирусное программное обеспечение Безопасное кодирование Безопасность по умолчанию Безопасность благодаря дизайну Случай неправильного использования Операционная система, ориентированная на безопасность Аутентификация Многофакторная аутентификация Авторизация Безопасность, ориентированная на данные Шифрование Брандмауэр Система обнаружения вторжений Мобильный безопасный шлюз Самозащита рабочего приложения

Безопасность, как часть процесс разработки программного обеспечения, это непрерывный процесс с участием людей и практик, обеспечивающий конфиденциальность, целостность и доступность приложений. Безопасное программное обеспечение - это результат процессов разработки программного обеспечения с учетом требований безопасности, в которые встроена безопасность, и поэтому программное обеспечение разрабатывается с учетом требований безопасности.^[1]

Безопасность наиболее эффективна, если она запланирована и управляется на всех этапах жизненный цикл разработки программного обеспечения (SDLC), особенно в критически важных приложениях или тех, которые обрабатывают конфиденциальную информацию.

Решение разработка программного обеспечения безопасность - это больше, чем просто технология.

Проблемы разработки программного обеспечения

В качестве технологии достижения, среды приложений становятся более сложными, а безопасность разработки приложений становится все более сложной задачей. Приложения, системы и сети постоянно подвергаются различным атакам безопасности, таким как вредоносный код или же отказ в обслуживании. Некоторые проблемы от безопасность разработки приложений точки зрения включают вирусы, троянские кони, логические бомбы, черви, агентов и апплеты.^[2]

Приложения могут содержать уязвимости безопасности что может быть представлено программисты намеренно или по неосторожности.

Программное обеспечение, окружающая среда и оборудование контроль необходимы, хотя они не могут предотвратить проблемы, возникшие из-за плохой практики программирования. Использование проверки пределов и последовательности для проверки вводимых пользователями данных повысит качество данных. Несмотря на то, что программисты могут следовать передовым практикам, приложение все равно может выйти из строя из-за непредсказуемых условий и, следовательно, должно успешно обрабатывать неожиданные сбои, сначала регистрируя всю информацию, которую оно может захватить, для подготовки к аудиту. По мере повышения безопасности возрастают относительные затраты и административные накладные расходы.

Приложения обычно разрабатываются с использованием высокоуровневых языки программирования которые сами по себе могут иметь последствия для безопасности. Основные действия, необходимые для процесса разработки программного обеспечения для создания безопасных приложений и систем, включают: концептуальное определение, функциональные требования, контрольную спецификацию, анализ проекта, анализ кода и пошаговое выполнение, анализ тестирования системы, а также сопровождение и управление изменениями.

Создание безопасного программного обеспечения - это ответственность не только инженер-программист но также ответственность заинтересованных сторон, которые включают: руководство, менеджеров проектов, бизнес-аналитиков, менеджеров по обеспечению качества, технических архитекторов, специалистов по безопасности, владельцев приложений и разработчиков.

Основные принципы

Есть ряд основных руководящие принципы безопасности программного обеспечения. Знание заинтересованных сторон об этом и о том, как они могут быть реализованы в программном обеспечении, имеет жизненно важное значение для безопасности программного обеспечения. К ним относятся:

• Защита от разглашения
• Защита от переделки
• Защита от разрушения
• Кто делает запрос
• Какие права и привилегии есть у запрашивающего
• Способность строить исторические свидетельства
• Управление конфигурацией, сессиями и ошибками / исключениями

Основные практики

Ниже перечислены некоторые из рекомендуемых методы веб-безопасности которые более специфичны для разработчиков программного обеспечения.

• Дезинфекция входных данных на стороне клиента и сервера
• Кодировать запрос / ответ
• Использовать HTTPS для записей домена
• Используйте только текущие алгоритмы шифрования и хеширования
• Не разрешать список каталогов
• Не храните конфиденциальные данные в файлах cookie.
• Проверить случайность сеанса
• Установите флаги безопасности и HttpOnly в файлах cookie
• Используйте TLS, а не SSL
• Установите политику надежных паролей
• Не храните конфиденциальную информацию в скрытых полях формы.
• Проверьте функциональность загрузки файла
• Установить безопасные заголовки ответа
• Убедитесь, что сторонние библиотеки защищены
• Скрыть информацию о веб-сервере

Тестирование безопасности

Общие атрибуты тестирование безопасности включают аутентификацию, авторизацию, конфиденциальность, доступность, целостность, неотказуемость и отказоустойчивость. Тестирование безопасности необходимо, чтобы гарантировать, что система предотвращает несанкционированный доступ пользователей к ее ресурсам и данным. Некоторые данные приложений отправляются через Интернет, который проходит через ряд серверов и сетевых устройств. Это дает широкие возможности недобросовестным хакерам.

Резюме

Все системы безопасности реализуют меры безопасности в пределах программного обеспечения, аппаратное обеспечение, системы, и сети - каждый компонент или процесс имеет уровень изоляции для защиты самого ценного ресурса организации, которым являются ее данные. Существуют различные меры безопасности, которые могут быть включены в процесс разработки приложения для обеспечения безопасности и предотвращения несанкционированного доступа.

Рекомендации

• Стюарт, Джеймс (2012). Сертифицированное CISSP профессиональное учебное пособие по безопасности информационных систем, шестое издание. Канада: John Wiley & Sons, Inc., стр. 275–319. ISBN  978-1-118-31417-3.
• Отчет с семинара в Дагштуле 12401 Безопасность веб-приложений Под редакцией Ливена Десмета, Мартина Джонса, Бенджамина Лившиц и Андрея Сабельфельда, http://research.microsoft.com/en-us/um/people/livshits/papers%5Ctr%5Cdagrep_s12401.pdf
• Консорциум безопасности веб-приложений, Правило 80/20 для безопасности веб-приложений, Иеремия Гроссман, 2005 г., http://www.webappsec.org/projects/articles/013105.shtml
• Страница Википедии о безопасности веб-приложений, Безопасность веб-приложений
• Wiki-страница веб-безопасности, https://www.w3.org/Security/wiki/Main_Page
• Страница Википедии об уязвимостях веб-безопасности, Категория: Эксплойты веб-безопасности
• Открытый проект безопасности веб-приложений (OWASP), https://www.owasp.org/index.php/Main_Page
• Страница Википедии о сетевой безопасности, Сетевая безопасность
• Веб-сайт Open Web Application Security Project (OWASP), https://www.owasp.org/images/8/83/Securing_Enterprise_Web_Applications_at_the_Source.pdf