أعلى 10 ضوابط أمنية استباقية OWASP لمهندسي البرمجة لتصنيع البرمجة الآمنة
عناصر تحكم استباقية للمصممين الذين يصورون المناطق الأكثر أهمية التي يجب على مهندسي المنتجات التركيز عليها لإنشاء تطبيق محمي.
تحتوي OWASP Top 10 Proactive Controls 2019 على مجموعة من الابتكارات الأمنية التي يجب على كل مهندس أن يأخذها بعين الاعتبار في كل مشروع تقدم منتج.
"إن ضوابط OWASP العشرة الاستباقية تشبه OWASP Top 10 ومع ذلك فقد ركزت على الإجراءات والضوابط الوقائية بدلاً من المخاطر."
تبدأ مجموعة الضوابط الاستباقية من خلال تحديد المتطلبات الأساسية الأمنية التي تم الحصول عليها من مبادئ الصناعة ، والقوانين المادية ، وسجل نقاط الضعف السابقة.
أعلى 10 ضوابط استباقية OWASP
قائمة أفضل 10 عناصر تحكم استباقية تم وضعها من 1 إلى 10 اعتمادًا على الأهمية.
- C1: تحديد المتطلبات الأساسية للرفاهية
- C2: تعزيز الهياكل والمكتبات
- C3: الوصول إلى قاعدة البيانات الآمنة
- C4: ترميز البيانات والهروب
- C5: تمت الموافقة على جميع الأقسام
- C6: تنفيذ شخصية متقدمة
- C7: فرض الحصول على عناصر التحكم
- C8: حماية المعلومات في كل مكان
- C9: تنفيذ سجل الأمان والمراقبة
- C10: يتم الاعتناء بجميع الأخطاء والإعفاءات
1. تحديد المتطلبات الأمنية
المتطلبات الأساسية للأمان تعطي الفائدة التي يتطلبها البرنامج للوفاء. وهي مستمدة من معايير الصناعة والقوانين ذات الصلة وخلفية تتميز بعيوب سابقة.
بدلاً من تلقي طريقة مخصصة للتعامل مع كل تطبيق ، قد تسمح ضرورات الأمان القياسية للمهندسين بإعادة استخدامه للتطبيقات المختلفة.
2. الاستفادة من الهياكل والمكتبات
المكتبات أو الهياكل الخارجية في برنامجك من مصادر موثوقة ، والتي يجب الاحتفاظ بها بشكل مناسب واستخدامها من قبل العديد من التطبيقات. يساعد استخدام الهياكل الأمنية المهندسين في تحقيق الأهداف الأمنية بشكل أكثر إنتاجية ودقة.
3. الوصول الآمن إلى قاعدة البيانات
يلخص هذا الجزء المناطق الرئيسية للنظر في الوصول الآمن إلى جميع مخازن المعلومات.
1. الطلبات الآمنة
2. الخلق
آمن 3. التحقق
آمن 4. جمعية آمنة
4. ترميز المعلومات والمهرب
يفترض التشفير والهروب وظيفة حتمية في أساليب حذرة ضد هجمات التسريب. يعتمد نوع الترميز على مكان رؤية المعلومات أو وضعها.
تتضمن الأنواع المختلفة من الترميز ترميز HTML وجودة HTML وجافا سكريبت وترميز URL.
5. الموافقة على جميع الممرات
يجب السماح فقط للمعلومات المنظمة بشكل مناسب بدخول إطار المنتج. يجب أن يؤكد التطبيق أن المعلومات لغوية وبيان.
6. تحقيق الشخصية المتقدمة
المعرّف المتقدم هو أفضل نهج للتحدث إلى التبادل عبر الإنترنت أدناه
اقتراحات OWASP للتنفيذ الآمن.
مستويات التأكيد
لقاء المجلس
حرف او رمز
7. يأذن للوصول إلى الضوابط
يتضمن التحكم في الوصول الطريق نحو التنازل عن طلب أو رفضه للوصول إلى تطبيق أو عميل أو برنامج أو إجراء. التالي هي قواعد OWASP.
هيكل دقيق لمراقبة الدخول إلى الأمام
قم بتشغيل جميع طلبات تقديم العروض من خلال عمليات فحص التحكم في الوصول
إنقاص بالطبع
حكم أقل فائدة
لا وظائف كود غير مرنة
تسجيل جميع مناسبات التحكم في المدخل
8. ضمان المعلومات في كل مكان
من الضروري تخزين المعلومات الدقيقة بأمان مثل كلمات المرور وأرقام بطاقات الشحن وسجلات الرفاهية والبيانات الفردية والمزايا التنافسية لأنها تقع بشكل خاص في إطار إرشادات الاتحاد الأوروبي للتأمين على المعلومات المفتوحة في إرشادات اللائحة العامة لحماية البيانات و PCI DSS.
تجميع المعلومات التي تعتمد على القدرة على التأثير كبيرة.
تشفير المعلومات في السفر
تشفير المعلومات لا يزال للغاية
دورة حياة المفتاح الغامض
تطبيق متعدد الاستخدامات: تخزين آمن قريب
رؤى مميزة لتطبيق المجلس
9. تفعيل التجنيد الأمني والمراقبة
تسجيل بيانات الأمان أثناء تشغيل التطبيق. التحقق هو المسح الفوري للاستخدام وسجلات الأمن باستخدام أنواع مختلفة من الميكنة.
تفعيل مكتبة أمنية
سجل للانقطاع وتحديد رد الفعل
خطة تجنيد آمنة
10. إدارة جميع الأخطاء والحالات الخاصة
Blunder رعاية تصاريح التطبيق لتناسب حالات الخطأ المتنوعة في مختلف الأساليب. يمكن أن تسبب بعض الاعتداءات أخطاء فادحة تساعد في التعرف على الاعتداءات.