Im Jahr 2020 hat MetaCompliance eine Reihe von Secure Coding-Titeln auf der Grundlage der OWASP Top 10 veröffentlicht.
OWASP (Open Web Application Security Project) ist eine gemeinnützige Stiftung, die sich für die Verbesserung der Sicherheit von Software einsetzt.
Ihre Top 10 ist ein Standarddokument zur Sensibilisierung, das einen breiten Konsens über die kritischsten Sicherheitsrisiken für Webanwendungen darstellt.
Öffnen Sie Web Anwendung Sicherheit Projekt (OWASP)
Im Jahr 2021 veröffentlichte OWASP seine aktualisierte Top-10-Liste der Bedrohungen. Diese aktuelle Liste basiert auf einer erweiterten Anzahl von Common Weakness Enumerators (CWEs), die Teil eines Systems zur Kategorisierung von Software-Schwächen und -Schwachstellen sind.
Der Hauptunterschied besteht dieses Mal darin, dass OWASP die Liste aus der Perspektive der Ursachen erstellt hat und nicht mehr aus einer Kombination von Ursache und Symptom. Das bedeutet, dass einige Themen, die in der Top-10-Liste von 2017 einen eigenen Platz hatten, nun in andere übergreifende Bedrohungen integriert wurden, aber immer noch als Problem für Entwickler relevant sind. So ist beispielsweise Cross-Site Scripting jetzt ein Symptom von SQL Injection und keine separate Bedrohung mehr.
Die Top 10 für das Jahr 2021 definieren auch die Notwendigkeit eines grundlegenden Wandels in der Art und Weise, wie Software entwickelt wird, und als Folge davon findet sich unsicheres Design nun als eine der Hauptbedrohungen in der Liste. Dieser Neuzugang zu den Top 10 trägt den zunehmenden Risiken für die Anwendungssicherheit Rechnung, indem er dafür sorgt, dass es solide Ratschläge für die Integration von Sicherheitskonzepten in jeder Phase des Softwareentwicklungszyklus gibt.
Sichere Kodierung eLearning-Serie
Ähnlich wie bei unserer vorherigen Ausgabe versucht unsere Secure Coding-Reihe, die von OWASP gesammelten Informationen in ein Format zu bringen, das für jeden, der sich mit Fragen der Anwendungssicherheit befassen muss, leicht verdaulich ist.
Dieses Mal haben wir den Inhalt radikal verändert. Jedem Thema der Top 10 ist ein eigenes Modul gewidmet, das sich mit folgenden Themen befasst:
- Definition der Bedrohung
- Verstehen, wie man die Bedrohung erkennt
- Wie Sie Ihre Anwendung auf Schwachstellen prüfen
- Abschwächung des Risikos durch die identifizierte Bedrohung
Für jedes Thema gibt es eine solide Bewertung, die die Bedeutung des Risikos für Ihr Unternehmen berücksichtigt, indem die Kenntnisse der Lernenden über die Top-10-Bedrohungen streng geprüft werden.
Die behandelten Themen sind:
- Was ist sichere Kodierung?
- Defekte Zugangskontrolle
- Kryptographische Ausfälle
- SQL-Einschleusung
- Unsicheres Design
- Sicherheit Fehlkonfiguration
- Anfällige und veraltete Komponenten
- Fehler bei der Identifizierung und Authentifizierung
- Software- und Datenintegritätsmängel
- Fehler bei der Sicherheitsprotokollierung und -überwachung
- Server-seitige Anforderungsfälschung