Nel 2020, MetaCompliance ha pubblicato la serie di titoli Secure Coding basati sulla Top 10 di OWASP.
OWASP (Open Web Application Security Project) è una fondazione no-profit che lavora per migliorare la sicurezza del software.
La loro Top 10 è un documento di sensibilizzazione standard che rappresenta un ampio consenso sui rischi di sicurezza più critici per le applicazioni web.
Aprire Web Applicazione Sicurezza Progetto (OWASP)
Nel 2021, OWASP ha pubblicato l'elenco aggiornato delle Top 10 delle minacce. L'elenco attuale si basa su un numero maggiore di Common Weakness Enumerators (CWE), che fanno parte di un sistema di classificazione delle debolezze e delle vulnerabilità del software.
La differenza principale di questa volta è che OWASP ha creato l'elenco da una prospettiva di causa principale, anziché da una combinazione di causa principale e sintomo. Ciò significa che alcuni argomenti che avevano trovato posto nella Top 10 del 2017 sono stati integrati in altre minacce generali, pur rimanendo rilevanti come problema per gli sviluppatori. Ad esempio, il Cross-Site Scripting è ora un sintomo di SQL Injection e non una minaccia separata.
La Top 10 del 2021 definisce anche la necessità di un cambiamento fondamentale nel modo in cui viene progettato il software e, di conseguenza, l'Insecure Design si trova ora come minaccia principale nell'elenco. Questa nuova aggiunta alla Top 10 tiene conto dei crescenti rischi per la sicurezza delle applicazioni, garantendo l'esistenza di consigli solidi per integrare i concetti di sicurezza in ogni fase del ciclo di vita dello sviluppo del software.
Serie di eLearning sulla codifica sicura
Come la nostra precedente iterazione, la serie Secure Coding cerca di distillare le informazioni raccolte da OWASP in un formato facilmente digeribile da chiunque abbia bisogno di conoscere i problemi di sicurezza delle applicazioni.
Questa volta abbiamo fatto qualcosa di radicalmente diverso per quanto riguarda i contenuti. Ogni argomento della Top 10 ha il suo modulo dedicato che copre:
- Definire la minaccia
- Capire come identificare la minaccia
- Come verificare la presenza di vulnerabilità nelle applicazioni
- Mitigare il rischio derivante dalla minaccia identificata
Per ogni argomento, è prevista una solida valutazione che tiene conto dell'importanza del rischio per la vostra organizzazione, esaminando rigorosamente la conoscenza della Top 10 delle minacce.
Gli argomenti trattati sono:
- Che cos'è il Secure Coding?
- Controllo degli accessi interrotto
- Fallimenti crittografici
- Iniezione SQL
- Design insicuro
- Errata configurazione della sicurezza
- Componenti vulnerabili e obsoleti
- Errori di identificazione e autenticazione
- Guasti al software e all'integrità dei dati
- Errori di registrazione e monitoraggio della sicurezza
- Falsificazione della richiesta lato server
