PT methodologiesБЛОГ

OWASP

OWASP (Open Source Security Testing Methodology Manual) е методика, създадена специално за тестване на приложения, с цел създаване на надежден и сигурен софтуер. Тя не просто посочва слабите места, а прави опит да интегрира проверките за сигурност в цикъла на разработка на код (SDLC – Software Development Life Cycle). Голяма част от разработчиците на код не го подлагат на тестове, докато не е завършен. Това е доста неефективна и скъпоструваща практика. Един от най-добрите методи да се предотвратяват бъгове в сигурността на приложенията е да се усъвършенства SDLC, като практиките за сигурност бъдат включени във всеки етап от него.

Фаза 1: Преди да започне разработката:

1.1. Дефиниране на SDLC – преди да започне разработването на ново приложение, трябва да бъде дефиниран подходящ SDLC, при който сигурността се унаследява от всеки следващ етап;
1.2. Преглед на политики и стандарти – трябва да се гарантира, че съществуват правилните политики, стандарти и документация. Документацията е изключително важна защото дава насоки, които да бъдат следвани от екипите, разработващи приложението. Важно правило в случая е, че хората могат да правят правилните неща, само ако знаят кои са те.
1.3. Разработка на критерии и метрика за измерване и проследяване на грешките;

Фаза 2: По време на проектиране (Definition and design):

2.1. Преглед на изискванията за сигурност – дефинират как дадено приложение ще работи от гледна точка на неговата сигурност. Изключително важно е тези изисквания да бъдат тествани;
2.2. Преглед на архитектурата на приложението – всеки софтуерен продукт трябва да съдържа документация, описваща неговата архитектура. Идентифицирането на проблеми със сигурността в етапа на проектиране спестява значителни финансови ресурси и време. Това е едно от най-ефективните места за правене на промени в приложението;
2.3. Създаване и преглед на UML модели;
2.4. Създаване и преглед на модели на заплаха (Threat models);

Фаза 3: По време на разботка:

3.1. Общ преглед на кода – екипа по сигурност цели да се запознае с начина на работа на приложението и основните похвати използвани за неговото създаване. На този етап програмистите и системните архитекти, създали приложението трябва да съдействат на специалистите по сигурност;
3.2. Задълбочен преглед на кода за проблеми със сигурността;

Фаза 4: Период на разпространяване (Deployment):

4.1. PT на приложението – след като са проверени изискванията, анализиран е дизайнът и са извършени прегледи на кода, може да се направи предположение, че всички проблеми са били отстранени. PT след пълната разработка на приложението осигуява последна цялостна проверка, в случай че нещо е пропуснато;
4.2. Тестване на конфигурациията (Configuration management review);

Фаза 5: Поддръжка:

5.1. Извършване на проверки за правилната работа на приложението;
5.2. Периодични Health проверки;
5.3. Контрол на обновленията.

Ключови свойства и предимства на OWASP

В следващите редове са обобщени някои от ключовите свойства и предимства на OWASP:

  • OWASP се фокусира главно върху областите с най-висок риск, а не адресира напълно всички проблеми, съпътстващи сигурността на приложенията;
  • Тестването на приложения с OWASP гарантира, че най-често срещаните атаки и уязвимости ще бъдат избегнати и конфиденциалността, интегритета и достъпността (CIA) на приложението ще бъдат запазени;
  • OWASP обществото е разработило редица автоматизирани и полуавтоматизирани инструменти за тестване на сигурността. Някои примери са WebScarab, Wapiti, JBroFuzz, SQLiX и други;
  • OWASP предлага специфични подробности за тестване на конкретни технологии – например тестването на Oracle е различно от това на Това улеснява значително одитора при избора на най-подходяща процедура за тестване;
  • Въвежда практики за сигурно писане на код във всеки етап от Това дава по-високи гаранции, че приложението ще бъде по-добре защитено и с по-малко грешки;
  • Осигурява съвместимост с други стандарти, което позволява на разработчиците да отговарят едновременно на няколко стандарта с много по-малко усилия от тяхна страна.

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *