En 2020, MetaCompliance a publié sa série de titres sur le codage sécurisé basés sur le Top 10 de l'OWASP.
L'OWASP (Open Web Application Security Project) est une fondation à but non lucratif qui s'efforce d'améliorer la sécurité des logiciels.
Leur Top 10 est un document de sensibilisation standard qui représente un large consensus sur les risques de sécurité les plus critiques pour les applications web.
Ouvrir Web Application Sécurité Project (OWASP)
En 2021, l'OWASP a publié sa liste actualisée des 10 principales menaces. Cette liste actuelle est basée sur un nombre accru d'énumérateurs de faiblesses communes (CWE), qui font partie d'un système de catégorisation des faiblesses et des vulnérabilités logicielles.
La principale différence cette fois-ci est que l'OWASP a créé sa liste à partir d'une perspective de cause fondamentale, par opposition à une combinaison de cause fondamentale et de symptôme. Cela signifie que certains sujets qui ont trouvé leur propre place dans le Top 10 de 2017 ont maintenant été intégrés dans d'autres menaces globales, tout en restant pertinents en tant que problème pour les développeurs. Par exemple, le Cross-Site Scripting est désormais considéré comme un symptôme de l'injection SQL et non plus comme une menace distincte.
Le Top 10 2021 définit également la nécessité d'un changement fondamental dans la façon dont les logiciels sont conçus, et par conséquent, la conception non sécurisée se retrouve maintenant comme une menace principale dans la liste. Ce nouvel ajout au Top 10 tient compte des risques croissants pour la sécurité des applications en garantissant l'existence de conseils solides pour intégrer les concepts de sécurité à chaque étape du cycle de vie du développement logiciel.
Série eLearning sur le codage sécurisé
À l'instar de notre précédente itération, notre série Secure Coding vise à distiller les informations rassemblées par l'OWASP dans un format facilement assimilable par toute personne devant être sensibilisée aux questions de sécurité des applications.
Cette fois-ci, nous avons fait quelque chose de radicalement différent avec le contenu. Chaque sujet du Top 10 a son propre module dédié qui couvre :
- Définir la menace
- Comprendre comment identifier la menace
- Comment vérifier les vulnérabilités de votre application
- Atténuation du risque lié à la menace identifiée
Chaque sujet fait l'objet d'une évaluation solide qui tient compte de l'importance du risque pour votre organisation, en examinant rigoureusement les connaissances de votre apprenant sur les 10 principales menaces.
Les sujets abordés sont les suivants :
- Qu'est-ce que le codage sécurisé ?
- Contrôle d'accès brisé
- Défaillances cryptographiques
- Injection SQL
- Insecure Design
- Mauvaise configuration de la sécurité
- Composants vulnérables et obsolètes
- Défauts d'identification et d'authentification
- Défauts d'intégrité des logiciels et des données
- Défaillances de la journalisation et de la surveillance de la sécurité
- Falsification de requête côté serveur
