Vuonna 2020 MetaCompliance julkaisi OWASP Top 10 -listaan perustuvan turvallisen koodauksen sarjan.
OWASP (Open Web Application Security Project) on voittoa tavoittelematon säätiö, joka pyrkii parantamaan ohjelmistojen turvallisuutta.
Heidän Top 10 -asiakirjansa on vakiomuotoinen tietoisuusasiakirja, joka edustaa laajaa yhteisymmärrystä verkkosovellusten kriittisimmistä tietoturvariskeistä.
Avaa Web Sovellus Turvallisuus Hanke (OWASP)
Vuonna 2021 OWASP julkaisi päivitetyn Top 10 -luettelon uhkista. Tämä nykyinen luettelo perustuu laajennettuun määrään Common Weakness Enumerators (CWE) -luetteloita, jotka ovat osa ohjelmistojen heikkouksien ja haavoittuvuuksien luokittelujärjestelmää.
Tärkein ero tällä kertaa on se, että OWASP on laatinut luettelonsa perimmäisen syyn näkökulmasta eikä perimmäisen syyn ja oireen yhdistelmästä. Tämä tarkoittaa sitä, että jotkin aiheet, jotka löysivät oman paikkansa vuoden 2017 Top 10 -listalta, on nyt sisällytetty muihin yleisimpiin uhkiin, mutta ne ovat silti edelleen ajankohtaisia kehittäjien kannalta. Esimerkiksi Cross-Site Scripting on nyt SQL Injectionin oire eikä erillinen uhka.
Vuoden 2021 Top 10:ssä määritellään myös tarve muuttaa perusteellisesti ohjelmistojen suunnittelutapaa, ja sen seurauksena epävarma suunnittelu on nyt luettelon tärkeimpänä uhkana. Tämä uusi lisäys Top 10:een ottaa huomioon sovellusten turvallisuuteen kohdistuvat kasvavat riskit varmistamalla, että on olemassa vankat neuvot turvallisuuskonseptien integroimiseksi ohjelmistokehityksen elinkaaren jokaiseen vaiheeseen.
Turvallinen koodaus eLearning-sarja
Samoin kuin edellisessä versiossamme, Secure Coding -sarjassamme pyritään tislaamaan OWASP:n kokoama tieto muotoon, joka on helposti omaksuttavissa kaikille niille, joiden on oltava tietoisia sovellusten turvallisuuteen liittyvistä asioista.
Tällä kertaa olemme tehneet sisällön suhteen jotain radikaalisti erilaista. Jokaisella Top 10 -aiheella on oma moduulinsa, jossa käsitellään:
- Uhkan määrittely
- Ymmärrys siitä, miten uhka tunnistetaan
- Kuinka tarkistaa sovelluksesi haavoittuvuuksien varalta
- Tunnistetun uhan aiheuttaman riskin lieventäminen
Jokaiseen aiheeseen liittyy vankka arviointi, jossa otetaan huomioon riskin merkitys organisaatiollesi ja tutkitaan tarkasti oppijan tietämys Top 10 -uhkasta.
Käsiteltäviä aiheita ovat:
- Mitä on turvallinen koodaus?
- Rikkinäinen kulunvalvonta
- Salaushäiriöt
- SQL-injektio
- Epävarma suunnittelu
- Turvallisuusvirheet
- Haavoittuvat ja vanhentuneet komponentit
- Tunnistamis- ja todentamisvirheet
- Ohjelmistojen ja tietojen eheyden puutteet
- Turvallisuuslokit ja seurantavirheet
- Palvelinpuolen pyyntöjen väärentäminen