År 2020 släppte MetaCompliance en serie titlar om säker kodning baserade på OWASP Top 10.
OWASP (Open Web Application Security Project) är en ideell stiftelse som arbetar för att förbättra programvarans säkerhet.
Top 10 är ett standarddokument som representerar ett brett samförstånd om de mest kritiska säkerhetsriskerna för webbapplikationer.
Öppna Webb Applikation Säkerhet Projektet (OWASP)
År 2021 släppte OWASP sin uppdaterade topp 10-lista över hot. Den aktuella listan bygger på ett utökat antal Common Weakness Enumerators (CWE:s), som är en del av ett system för att kategorisera svagheter och sårbarheter i mjukvara.
Den största skillnaden den här gången är att OWASP har skapat sin lista utifrån ett grundorsaksperspektiv, i motsats till en kombination av grundorsak och symptom. Detta innebär att vissa ämnen som hittade en egen plats i 2017 års topp 10 nu har integrerats i andra övergripande hot, samtidigt som de fortfarande är relevanta som ett problem för utvecklare. Cross-Site Scripting är till exempel numera ett symptom på SQL-injektion och inte ett separat hot.
Topp 10 för 2021 definierar också behovet av en grundläggande förändring av hur programvara utformas, och som ett resultat av detta är Insecure Design nu ett av de största hoten på listan. Detta nya tillägg till topp 10 tar hänsyn till de ökande riskerna för applikationssäkerheten genom att se till att det finns solida råd för att integrera säkerhetskoncept i varje skede av livscykeln för mjukvaruutveckling.
Säker kodning eLearning-serie
I likhet med vår tidigare serie om säker kodning försöker vår serie om säker kodning att sammanställa den information som OWASP har samlat in i ett format som är lätt att förstå för alla som behöver känna till säkerhetsproblem i program.
Den här gången har vi gjort något radikalt annorlunda med innehållet. Varje ämne i topp 10 har sin egen modul som täcker följande:
- Definition av hotet
- Förstå hur man identifierar hotet
- Hur du kontrollerar din applikation för sårbarheter
- Minska risken från det identifierade hotet.
För varje ämne finns det en robust bedömning som tar hänsyn till hur viktig risken är för din organisation, genom att noggrant undersöka elevernas kunskaper om de tio största hoten.
De ämnen som behandlas är:
- Vad är säker kodning?
- Bristfällig åtkomstkontroll
- Kryptografiska misslyckanden
- SQL-injektion
- Osäker design
- Felaktig säkerhetskonfiguration
- Sårbara och föråldrade komponenter
- Fel i identifiering och autentisering
- Brister i mjukvaru- och dataintegritet
- Brister i säkerhetsloggning och övervakning
- Förfalskning av begäran på serversidan