サイバー防衛? 安全のプログラミングはすべての基礎です

(へ アレッサンドロルゴロ)
04/09/17

に来るとき サイバー防衛 私たちはいつも悪いハッカーと、フェンスの向こう側で彼らと戦う人々のことを考えています。 それでも、それはすべてずっと早く始まります。
特にソフトウェアの側面では、プログラムが設計および構築されるときにすべてが始まります。

貧弱な設計、安全なソフトウェアプログラミングの分野における知識の欠如、テストと品質管理の非効率性は、私たちが日々直面する問題の根本にあります。 サイバースペース。 しかし、安全なアプリケーションを作成するための標準があります。 オープンWebアプリケーションセキュリティプロジェクト、略してOWASPは、安全なWebアプリケーションを作成するための標準であり、ほとんどすべてのアプリケーションがWebであると考えると...

OWASPは、ソフトウェアのセキュリティを向上させることを目的とした世界的な組織でもあります。 組織が作成したドキュメントはライセンスに基づいてリリースされます クリエイティブ・コモンズ表示-継承.

OWASP財団は、1年2001月XNUMX日からオンラインであり、組織として認識されています。 非営利 21年2004月XNUMX日時点のアメリカ人。財団と共同研究者は、テクノロジー業界に参加せず、公平さと信頼性を損なわないという基本的なルールを遵守しています。

OWASPには当然、創設者であるMark Curpheyがいます。彼は、イギリスで育ちました。 2000年にカーペイで修士号を取得した後 情報セキュリティーは暗号学を専攻し、イギリスを出発してアメリカ合衆国に向かい、そこで働き始めました。 インターネットセキュリティシステム、後にIBMが買収。 彼がOWASPに命を与えたのはそれらの年でした。
セキュリティの分野でのいくつかの経験の後、2014年に彼は ソースクリア サンフランシスコに拠点を置き、OWASPの普及に協力し続けています。

しかし、OWASPがなぜそれほど重要なのでしょうか。

安全なソフトウェア開発の世界標準となったOwaspは重要ですが、OWASPプロジェクトで毎日協力している何千人ものサイバーセキュリティ専門家がいるため重要であり、レンダリングされたベストプラクティスの集まりであるため重要です無料で利用できますが、多くのプロジェクトの中には OWASPアカデミー 安全なソフトウェア開発に関する知識を広めることを目的としています。

OWASPは標準です de facto 、個々の開発者だけでなく、大規模なソフトウェアメーカーでも採用されています。 実際、これは標準であるため、組織によるその採用が組織の構造の不可欠な部分になることは言うまでもありません。 サイバー防衛 組織自体の、これは サイバー防衛 「戦術」と呼ぶことができるのは映画に見られるものだけでなく、「戦略」の見えないもの、それは文脈の一部でもあります。
ソフトウェアを生産する組織、およびビジネスプロセスが使用するソフトウェア(生産されているかどうかにかかわらず)に大きく依存している組織も、次のことに注意する必要があります。 方針 社内でのOWASPの採用など。

したがって、OWASPまたはその他の安全基準の採用は、 サイバー防衛 会社であり、それ自体が経営陣の注目に値する。 実際、何も考えずにセキュリティセクターに投資することは絶対に無意味です 方針 セクタ。

比較を愚かであるがすべてに理解できるようにするために、ザルで水を濾過したいようなものです。水から特定のサイズの粒子を除去する必要があり、ザルが効果的でない場合は、大きいザルを購入することもできますが、購入では、穴のサイズは気にしません。パフォーマンスを向上させることなく、より大きなザルに多くのお金を費やしただけでしょう。

ここで、ソフトウェアを作成する(またはソフトウェアを購入する)ときに、生産およびテスト段階で使用される安全基準に注意を払わない場合、多くのお金を費やすことによって存在するリスクに直面できるようにする一連の一連のセキュリティチェックをセットアップする必要があります。最初からソフトウェアのセキュリティ面に注意を払っていれば、私が費やす金額よりも多くなります。

もちろん、安全なソフトウェア生産標準の採用は、問題がないことを保証するものではありませんが、少なくとも既知の問題から保証するものです。

OWASPの最も重要な製品のXNUMXつは トップXNUMX、 関連する上位10のリスクのリスト Webアプリケーション。 最初のバージョンでは、これらは提案されたポイントでしたが、今日でもまだ観察中です。

A1インジェクション
A2壊れた認証とセッション管理
A3クロスサイトスクリプティング(XSS)
A4壊れたアクセス制御
A5セキュリティの設定ミス
A6機密データの公開
A7不十分な攻撃防御
A8クロスサイトリクエストフォージェリ(CSRF)
A9既知の脆弱性を持つコンポーネントの使用
A10保護されていないAPI

2017年のリストは、前のリストと非常に似ていますが、主にポイント7のために多くの議論がなされており、誰もが共有するとは考えていません。 事実、すべての人に共有されているわけではありませんが、これは、世界に存在するリスクを研究するための優れた出発点と見なすことができます。 ウェブアプリケーション.

 
もっと知ることができます。
- https://www.owasp.org
- https://www.sourceclear.com
- http://www.cert.org/secure-coding/standards/index.cfm
- https://2017.appsecusa.org/ 

イベント

赤で強調表示されている日をクリックして、証拠にあるものを見つけてください。
軍の生活の話
あなたの話を送ってください
名誉ある休暇を取った第80「ローマ」歩兵に敬意を表します

そうですね、私たちは今、兵舎の閉鎖を目撃することに慣れており、おそらくその部門の長い歴史を葬ることにも少し慣れていますが、この現象は記憶を消すものではありません。それも触れた…

ストーリーを読む
「IlSignorParolini」(第XNUMX部)

焼きたてのチキンは、予想通り、その評判に応え、必要に応じて、ガストン主任の議論の余地のない料理の熟練を強化しました...

ストーリーを読む