I 2020 udgav MetaCompliance vores serie af titler om sikker kodning baseret på OWASP Top 10.
OWASP (Open Web Application Security Project) er en non-profit fond, der arbejder for at forbedre softwares sikkerhed.
Deres Top 10 er et standardoplysningsdokument, som repræsenterer en bred konsensus om de mest kritiske sikkerhedsrisici for webapplikationer.
Åbn Web Applikation Sikkerhed projekt (OWASP)
I 2021 offentliggjorde OWASP sin opdaterede Top 10-liste over trusler. Denne aktuelle liste er baseret på et udvidet antal Common Weakness Enumerators (CWE'er), som er en del af et system til kategorisering af softwaresvagheder og sårbarheder.
Den største forskel denne gang er, at OWASP har udarbejdet sin liste ud fra et grundårsagsperspektiv i modsætning til en kombination af grundårsag og symptom. Det betyder, at nogle emner, som fandt deres egen plads i 2017 Top 10, nu er blevet integreret i andre overordnede trusler, mens de stadig er relevante som et problem for udviklere. For eksempel befinder Cross-Site Scripting sig nu som et symptom på SQL-injektion og ikke som en separat trussel.
Top 10 for 2021 definerer også behovet for et grundlæggende skift i den måde, som software designes på, og som følge heraf er Insecure Design nu en af de største trusler på listen. Denne nye tilføjelse til Top 10 tager højde for de stigende risici for applikationssikkerheden ved at sikre, at der findes solide råd til at integrere sikkerhedskoncepter i hver fase af softwareudviklingslivscyklussen.
Sikker kodning eLearning-serie
I lighed med vores tidligere udgave forsøger vores serie om sikker kodning at destillere de oplysninger, som OWASP har samlet, til et format, der er let at fordøje for alle, der har brug for at være opmærksomme på sikkerhedsproblemer i forbindelse med applikationer.
Denne gang har vi gjort noget radikalt anderledes med indholdet. Hvert emne i Top 10 har sit eget dedikerede modul, som dækker:
- Definition af truslen
- Forståelse af, hvordan man identificerer truslen
- Sådan kontrollerer du din applikation for sårbarheder
- Afhjælpning af risikoen ved den identificerede trussel
For hvert emne er der en solid vurdering, som tager hensyn til vigtigheden af risikoen for din organisation ved at undersøge elevernes viden om de 10 største trusler nøje.
De emner, der behandles, er:
- Hvad er sikker kodning?
- Brudt adgangskontrol
- Kryptografiske fejl
- SQL-injektion
- Usikkert design
- Fejlkonfiguration af sikkerheden
- Sårbare og forældede komponenter
- Fejl i identifikation og autentificering
- Fejl i software og dataintegritet
- Fejl i sikkerhedslogning og overvågning
- Forfalskning af server-side forespørgsler
