Состояние безопасной разработки программного обеспечения – три курса OpenSSF


Фонд безопасности с открытым исходным кодом недавно запустил три совершенно новых и бесплатных курса по разработке безопасного программного обеспечения, которые размещены на edX.

В настоящее время каждая компания – это разработчик программного обеспечения, независимо от того, в каком бизнесе она ведется, будь то финансы, производство или здравоохранение. Чтобы обеспечить ценность, предприятиям необходимо общаться с помощью программных приложений, созданных собственными силами или третьей стороной.

Проблема в том, что кибератаки будут атаковать эти приложения, исследуя их, чтобы выявить уязвимости, использовать их и получить доступ к вашим внутренним сетям, украсть данные компании и клиентов или просто создать хаос.

Эти уязвимости возникают из-за ошибок в программном обеспечении, и наиболее популярный способ поиска и исправления этих ошибок – применение таких инструментов, как SAST, к исходному коду. Тем не менее, все инструменты имеют ограничения. В статье «Будущее AppSec и почему я присоединился к r2c» Клинт Гиблер предлагает следующее:

Невозможно найти каждую ошибку, независимо от того, насколько продвинуты ваши инструменты.

Вместо этого он утверждает, что путь вперед таков:

создать безопасные по умолчанию библиотеки и инструменты, которые разработчики могут использовать для предотвращения целых классов уязвимостей путем создания, а затем убедиться, что разработчики их используют. Это то, что дальновидные группы безопасности в таких компаниях, как Google, Microsoft, Facebook, Netflix, Dropbox и многие другие верят и инвестируют в них годами.

Например:

Современные веб-фреймворки, такие как Django, Ruby on Rails и другие, имеют ряд безопасных значений по умолчанию и встроенные ограничения, которые делают потенциально опасные задачи безопасными по умолчанию, включая контекстно-зависимое кодирование вывода (предотвращение XSS), тесную интеграцию с объектно-реляционными преобразователями (предотвращение SQL-инъекция) и многое другое. По моему мнению и мнению многих других, именно поэтому улучшилась общая веб-безопасность, а не все причудливые инструменты для поиска ошибок, которые мы создали.

Вывод Гиблера таков:

Будущее AppSec – это один-два удара безопасных значений по умолчанию + легкое применение этих значений по умолчанию.


Добавить комментарий