Geekly articles weekly

كيفية ضمان سلامة التنمية ، وتوفير الوقت والأعصاب

أثار الانتقال إلى القطاع الرقمي للبنوك وتجارة التجزئة والطب وفروع الإنتاج والخدمات الحيوية الأخرى تهديدات أمنية عديدة. اليوم ، في جميع أنحاء العالم ، يستمر نشاط المهاجمين في النمو ، وأصبحت قضايا حماية بيانات المستخدمين والشركات من السرقة والأضرار المتعمدة موضوع نقاش متزايد من قبل المحترفين.

كيف يمكن للأعمال وتكنولوجيا المعلومات دمج الأمن في عملية التطوير ، وما هي أفضل الأدوات المستخدمة لهذا الغرض ، وكيف يقع كل هذا في ممارسات التنفيذ الفعلية. ونحن نشارك نهج Rostelecom ، M. Video-Eldorado ، DD Planet ، AGIMA.

ياروسلاف ألكساندروف ، رئيس قسم التطوير في شركة AppScreener للطاقة الشمسية في Rostelecom ، حول كيفية دمج SAST في التطوير


مع نمو الشركة والزيادة في عدد المطورين ، أصبح التحقق من وجود نقاط ضعف "يدويًا" أمرًا صعبًا بشكل متزايد. يجب عليك استخدام SAST - اختبار أمان التطبيق الثابت (اختبار أمان التطبيق الثابت). في Solar appScreener ، تم بناء أمن المعلومات على أساس منتج داخلي. يحلل المنتج الكود المصدري. اليوم ، يتم دعم 26 لغة برمجة ، والتي يمكن تحليل مصدر الضعف فيها ، ويدعم جميع الأشكال الشائعة وأنظمة إدارة المشاريع.

كيفية اختيار SAST؟


حتى الضعف البسيط لا يمكن العثور عليه باستخدام الخوارزميات البدائية. يوجد اليوم في السوق الكثير من حلول SAST ، المدفوعة والمجانية. الأكثر شيوعًا منها هي AppScan من IBM Security و Synopsys و Veracode و Application Inspector و Micro Focus و Appercut و Checkmark.

تعتمد فعالية عملية التطوير على اختيار الأداة. المزايا الرئيسية للحلول المدفوعة:

  • التركيز على الأمان: خوارزميات محددة وقواعد قاعدة كبيرة.
  • دعم للعديد من لغات البرمجة.
  • واجهة المستخدم ودية.
  • توافر الإضافات و API.
  • توفر الدعم الفني للأداة.

غالبًا ما تكون الأدوات المجانية وواجهات الويب أدنى من تلك المدفوعة ، لأنها تحتوي على خوارزميات أبسط ، كما أن قواعد القواعد أقل اكتمالًا. مهمتهم الرئيسية هي العثور على أخطاء في التعليمات البرمجية. تخصص ووظائف مثل هذه الحلول عادة ما تكون ضيقة للغاية.

بمجرد تحديد حل SAST ، ستحتاج إلى دمجه في عملية التطوير. قد تتضمن خيارات التكامل ما يلي: تضمين الأداة في المستودع وبيئات التطوير وخوادم CI / CD وأنظمة تتبع المهام. يمكن أن تدمج الأداة الجيدة بنجاح في جميع فئات الأنظمة المدرجة.

ملاحظة : يتضمن SAST API المفتوح JSON API و CLI ويوفر فرصًا واسعة للتكامل والأتمتة الإضافية.

لاختيار الأداة التي تلبي تمامًا أهداف وأهداف المطور ، تحتاج إلى إجراء مقارنة وظيفية ومقارنة في الجودة.

يتم إجراء مقارنة وظيفية وفقًا لعدة معايير: حيث يقومون بتحليل راحة الواجهة وراحة التكامل مع الأدوات الخاصة بهم. في الوقت نفسه ، من المهم إجراء التحقق على أكوادك الخاصة.

والخطوة التالية هي مقارنة الجودة: فهي تحلل نقاط الضعف والإيجابيات الخاطئة فيما يتعلق بالكود الخاص بهم.

الفروق الدقيقة والفروق في تحليل الكود


كلما تم العثور على ثغرة أمنية ، كان أرخص للمطور والعميل. هذا يعني أنه يجب فحص المنتج بشكل دوري بحثًا عن الثغرات الأمنية أثناء عملية التطوير ، بالإضافة إلى إجراء فحوصات مراقبة قبل الإصدار.

السرعة والموارد : من المتوقع أن تعمل الأداة بسرعة ؛ تشغيل على كل تغيير. تظهر على الطاير الذي وعندما قدم الضعف. في الواقع ، تقوم SAST بتحليل الكود لمدة 8 ساعات على الأقل ، ومن الصعب تشغيله عند كل تغيير ؛ من الصعب تحديد مؤلف مشكلة عدم الحصانة؛ ايجابيات كاذبة يحدث. لذا ، فإن السؤال الذي يطرح نفسه: كيفية تكوين DevSecOps.

من المهم جدا هنا:

  • حساب الوقت والموارد لتحليل التعليمات البرمجية الخاصة بك.
  • تحديد المشغلات لتشغيل الفحص بناءً على النتائج.
  • ضع في اعتبارك أن القوة ستحتاج إلى إعادة الحساب بشكل دوري.
  • من الأفضل استخدام التحليل التزايدي ، ولكن يجب القيام بذلك بحذر ، نظرًا لأنه يمكن فقد الثغرات الأمنية.



على سبيل المثال ، يمكنك تشغيل الاختبار باستخدام SAST عندما يرسل مطور مهمة للمراجعة. يمكنك أيضًا بدء المسح في نهاية يوم العمل.


المشكلة الأخرى هي الإيجابيات الخاطئة والحصول على معلومات حول نقاط الضعف المتعددة في التقرير. في هذه الحالة ، يوصى المطور: للتصفية في أجهزة التحليل الثابتة حسب الضعف والملف. يمكنك استبعاد المكتبات ، وتحليل الأهمية ، وإضافة استثناءات لمعلمات معينة. يكفي القيام بمثل هذا العمل مرة واحدة فقط ، بحيث لا تندرج المعلومات الواردة في المستقبل حول الإيجابيات الخاطئة في التقارير. من المهم أيضًا التأكد من عدم ظهور ثغرات جديدة وتفكيك قاعدة بيانات الثغرات الموجودة في الخلفية تدريجيًا.

عند العمل على دمج SAST في عملية التطوير ، من المهم تنفيذ العمليات تدريجياً دون حظر الإصدار. قد يكون تدفق العملية كما يلي:

  • اختيار الأداة.
  • وصف العملية (وضع اللوائح).
  • وصف الحلول التقنية.
  • أعمال التنفيذ.
  • التشغيل التجريبي.

من الأفضل البدء بأكثر الأنظمة أهمية: من المهم التخلص من نقاط الضعف الجديدة وإجراء التصميم وتنفيذ اللوائح والحلول التقنية.

يجب أن تشير اللوائح بالضرورة:

  • خطوات للتحقق من رمز الثغرات الأمنية.
  • المسؤول عن بدء المسح.
  • الأدوار والنتائج.
  • كيف سيتم تأسيس عملية الاتصال.
  • اتفاقية مستوى الخدمة.
  • مسؤولة عن التحكم في العملية.
  • ترتيب إضافة أنظمة جديدة لهذه العملية.

يسمح هذا النهج بتنفيذ SAST في عملية التطوير في سنة تقويمية واحدة. من المهم النظر في جميع التغييرات والمخاطر.

التوصيات النهائية:

  • استخدم SAST في كل مرحلة من مراحل التطوير.
  • التكيف مع تكامل التعليمات البرمجية الخاصة بك والعملية.
  • ابدأ بتحديد الثغرات الجديدة.
  • تدريجيا القضاء على نقاط الضعف القديمة.
  • إنشاء عملية تستند إلى SAST.
  • نشر تدريجيا ، بدءا من دون أي تأثير على الإصدارات.

فلاديمير سادوفسكي ، رئيس فريق رصد حوادث أمن المعلومات والاستجابة لها عبر M.Video-Eldorado ، حول كيفية بناء عملية برمجة آمنة


تكمن الفكرة الأساسية وراء مفهوم البرمجة الآمنة في مساعدة الأعمال التجارية ؛ تسريع العمليات تقليل مخاطر المشاكل المرتبطة نقاط الضعف في المنتج.

يمكن تصور النهج الكلاسيكي للأمان على النحو التالي:



تتعلق مشكلتها الرئيسية بارتفاع تكلفة التحسينات الضرورية لضمان السلامة. بالإضافة إلى ذلك ، من المهم توفير بروتوكولات تشفير البيانات وتشفير بروتوكول نقل حافلات التكامل وما إلى ذلك.

أما بالنسبة لمواقع التجارة الإلكترونية ، فهي تتعرض للهجوم أكثر من غيرها. أهداف هذه الهجمات هي محاولة للحصول على فائدة مالية معينة (لخداع البرنامج وشراء سلع باهظة الثمن مجانًا) ، أو للاستيلاء على البيانات الشخصية للعملاء. لسوء الحظ ، في حين أن بعض المشاكل لا يمكن إغلاقها باستخدام ماسحات الضعف الكلاسيكية. على سبيل المثال ، إذا كان التطبيق يحتوي على ماسح ضوئي لترخيص بصمة الإصبع ، فلن يُظهر تحليل ثابت واحد خطأ هذه الوظيفة في التطبيق. هذا يزيد من خطر الحوادث المتعلقة بتغلغل الدخلاء في حسابات المستخدمين للتطبيق. في الوقت نفسه ، كلما اقترب تطبيق تاجر التجزئة من الإصدار ، زادت تكلفة إصلاح الثغرات والأخطاء.

قد يبدو مخطط استخدام أدوات اختبار أمان التعليمات البرمجية لمنصة التجارة الإلكترونية كما يلي:



يوضح بوضوح الفريق الذي شارك في تنفيذ وظيفة تطبيق معينة. إذا تم اكتشاف خطأ أو ثغرة أمنية ، فستهدف الوظيفة إلى إنهاء هذا الفريق المحدد. نتيجة لذلك ، يتم تقليل الوقت الذي تستغرقه في إصلاح الأخطاء والمشاكل ، لأن المطورين المباشرين يعرفون كودهم بشكل أفضل.

بعد ذلك ، يتم إطلاق الاختبار النهائي ، حيث يتم خلاله تحليل رمز المنتج النهائي بالكامل و "تنظيفه" الأخطاء المتبقية.

تهديدات أمن التجزئة


المحرك الرئيسي لتجارة التجزئة هو المبيعات - سواء كان ذلك خارج المتاجر ، الإنترنت ، التسويق ، قواعد بيانات العملاء. كل شيء يهدف إلى الاقتراب من المستخدم قدر الإمكان. بالإضافة إلى ذلك ، تسعى تجارة التجزئة الحديثة لبيع منتجاتها باستخدام omnichannel ؛ تطلق مختلف الحملات والبرامج التسويقية. كل هذا مثير للاهتمام ليس فقط للمستهلكين ، ولكن أيضًا للمتسللين. يظهر تقييم سلامة إضافي هنا - ضرر محتمل. تم تصميم التحليل لتحديد الأخطاء في الموقع ، والأخطاء المنطقية ومشاكل الأمان الكلاسيكية التي يعاني منها المستهلكون الحقيقيون لاحقًا.

من المهم أيضًا أن نفهم أن الضرر المحتمل يبدأ بمرحلة الاختبار. يحدث أن تتكامل البيئة التي يتم إنتاجها فيها بشكل عميق مع البيئة الإنتاجية ، وبالتالي فإن التغييرات التي يتم إجراؤها أثناء مرحلة الاختبار يمكن أن تسبب حوادث ومشاكل. لتجنب ذلك ، من المهم وضع خريطة عملية واتخاذ التدابير المناسبة قبل بدء التطوير.

إذا كان هناك مقاول خارجي يشارك في عملية التطوير ، فمن المهم تقييم ما إذا كان قادرًا على تلبية متطلبات السلامة اللازمة. لهذا ، من الضروري إجراء تقييمات منتظمة لكفاءة المطورين ومستوى الشركة المنفذة فيما يتعلق بأمن الإنترنت. يجب أن يتضمن العقد نقاطًا لإصدار الشهادات للمطورين ؛ سجل من المسؤول عن الأخطاء التي أدت إلى الضرر. من المهم تدريب فرق التطوير بانتظام وتوفير حماية شاملة للملكية الفكرية.

من المهم جدًا أيضًا توفير التحكم في الوصول وتنظيم بيئة موثوق بها وتكوين أدوات المراقبة ومنع تسرب البيانات. سيتعين علينا أيضًا صياغة متطلبات وسياسات تفصيلية للبرمجة الآمنة وإصلاح جميع إصدارات Open Source والمكتبات الخارجية.

في مرحلة التصميم ، من المنطقي استخدام نهج سيناريو ، وبناء نموذج تهديد وإجراء تحليل للمخاطر في عدة مراحل. عندما تأتي مهمة جديدة إلى المطورين ، من المهم فهم العمليات التجارية التي ستؤثر عليها وتقييم المبادرات من حيث سيناريوهات الاحتيال المحتملة على مستوى متطلبات العمل. يتم النظر في كل خطر في إطار ثلاثة احتمالات: تقييم متفائل ومتوسط ​​ومتشائم. يتم إرسال الروبوتات إلى الموقع أو التطبيق. كل عشر منهم ضار. بناءً على ثلاثة سيناريوهات ، يتم احتساب الأضرار المحتملة على العمل.

هناك العديد من أجهزة التحليل الثابتة والديناميكية التي تتيح لك تحديد المشكلات وحلها في الوقت المناسب. تتمثل مهمة قسم تكنولوجيا المعلومات في التحقق من أن سلسلة الأكواد تعمل بشكل صحيح من وجهة نظر المتطلبات الفنية. تتمثل مهمة قسم الأمن في التحقق من رمز الثغرات الأمنية.

البحث عن الثغرات الأمنية في منطق الأعمال يتلخص في الجوانب التالية:

  • تنفيذ اختبارات الأمان الذاتية عند اختبار التطبيقات.
  • إنشاء قواعد أزياء لمحلل ثابت مع الإشارة إلى عمليات الأعمال الأساسية والتكامل.
  • تحليل يدوي لأجزاء من الشفرة المعدلة ، في سياق وظيفي له درجة عالية من الأهمية بناءً على المخاطر.
  • عملية البحث عن إشارات مرجعية في الكود ، المراجعة الدورية للمكتبات الخارجية.

لا يمكن العثور على جميع مشكلات الأمان التي تم حلها على مستوى الرمز والتطوير. تتمثل مهمة قسم الأمن في إنشاء وإنشاء عملية فعالة لإدارة نقاط الضعف والحوادث. للقيام بذلك ، تحتاج إلى تحليل سلوك المستخدم باستمرار ، وتحديد ملامحها ، ومراقبة السلوك. إذا كان ينحرف عن الأنماط المعتادة للعمل ، فأنت بحاجة إلى اعتبار هذا واقعة والرد على الفور.
يساعد تحليل سلوك المستخدم على:

  • العمل مع البيانات الضخمة وبناء نماذج للسلوك غير الطبيعي والتشوهات.
  • عملية مراقبة ومراجعة البرامج النصية JS. المواقع الحديثة لا تعمل بدون نصوص JS. في كثير من الأحيان يتم تحميلها من الموارد الخارجية. لذلك ، من المهم فهم وظائفهم ونوع التهديد الذي تحمله البرامج النصية JS للموقع.
  • ابحث عن نقاط الضعف القائمة على خدمات التحليل والمقاييس Google و Yandex.
  • اختبار أمني منتظم للمشروع ككل.
  • استخدام Bug Bounty لتحديد نقاط الضعف الجديدة.
  • تكامل WAF لحماية التطبيقات والاستجابة الفعالة للمشاكل.

من المهم جمع وتحليل البيانات باستمرار لتحديد الحالات الشاذة الجديدة.

ديمتري نيكولتشيف ، DD Planet - حول كيفية حماية بيانات مستخدمي خدمات الويب والهاتف المحمول


تعتمد البرمجة الآمنة في DD Planet على عدة مبادئ. أول هذه الموثوقية. يجب أن يكون أداء المنتج متوقعًا وصحيحًا وخاليًا من المتاعب. حتى إذا تم إدخال البيانات الأولية بشكل غير صحيح (بطريق الخطأ أو عن قصد كجزء من الهجوم على منتج).

والثاني هو الأمن. القدرة على الحماية من التهديدات الخارجية والهجمات والحفاظ على قابلية التشغيل بعد التفكير والقضاء عليها.

والثالث هو الخصوصية. ضمان العمل الآمن والصحيح مع البيانات الشخصية. هذا أمر بالغ الأهمية عند تطوير المشاريع والتطبيقات المخصصة.

على سبيل المثال ، تعد خدمة Zhivu.RF ، التي طورتها ودعمتها DD Planet ، شبكة اجتماعية خاصة للجيران وتحتوي على الكثير من البيانات الشخصية. يتم تأكيد ملف تعريف المستخدم بمساعدة الخدمات العامة ، والانتماء إلى عنوان محدد (حي) - استخراج USRN من Rosreestra. هذا يفرض على المطور التزامات جدية تتعلق بحماية المعلومات الشخصية.

تخزين ومعالجة بيانات المستخدم


نقوم بتخزين جميع البيانات الشخصية في ISPDn (نظام معلومات البيانات الشخصية). يتم تضمينها في شبكة افتراضية معزولة مع بنية تحتية آمنة لتكنولوجيا المعلومات. يتم دمج أدوات الكشف عن الاختراق ، وتحليل الأمان وخادم البحث عن الثغرات الأمنية ، بالإضافة إلى خادم النسخ الاحتياطي في الشبكة الافتراضية.

لتحديد نقاط الضعف ، نستخدم "النهج اليدوي" ونعتمد على تحليل الخبراء. لا يتضمن هذا المبدأ استخدام أي أدوات آلية: يتم إجراء البحث بواسطة أخصائي متمرس ، وعند تحديد نقاط الضعف ، يركز على معرفته. من الواضح أن هذه التقنية تتطلب الكثير من الوقت وتتطلب وجود متخصصين مؤهلين تأهيلا عاليا في الشركة. ومع ذلك ، فإنه يعتبر الأكثر فعالية من حيث دقة واكتمال تغطية البيانات أثناء التحقق.

شدة في الكفاح من أجل المنتج المثالي


في تطوير العميل ، من المهم إصدار إصدارات في الوقت المحدد ، في حين يجب أن يكون التطبيق خاليًا من الأخطاء وضمان أمن المستخدمين. باتباع هذا المبدأ ، أثناء اختبار المنتج ، نستخدم مبدأ تقييم المهام حسب الأولوية - درجة الأهمية. وهذا هو ، نحن ترتيب جميع المهام للقضاء على الأخطاء اعتمادا على درجة من التأثير السلبي على المنتج من العيب.

الأولوية في حل الأخطاء في DD Planet هي كما يلي:

  1. بادئ ذي بدء ، نقوم بتحديد وإزالة برامج الحظر أو الأخطاء التي لا تتاح فيها للمستخدم الفرصة لتنفيذ الإجراء الهدف. على سبيل المثال ، لا يمكن للزائر التسجيل في الموقع أو في التطبيق ؛ تسجيل الدخول إلى حسابك. الوصول إلى البيانات المستهدفة أو أقسام التطبيق.
  2. بعد ذلك ، نقوم بتتبع وإزالة الأخطاء الخطيرة - مشاكل الأمان ، وتجمد النظام ، وعملية العمل المعطلة ، وتعطل التطبيق الدوري.
  3. ثم نحلل مشاكل المستوى المتوسط ​​- نجد الأخطاء التي تظهر فقط في مواقف معينة.
  4. الخطوة الأخيرة هي التغييرات الطفيفة - نتخلص من الأخطاء الطفيفة ونعد التعليقات على الواجهة وما إلى ذلك.

يساعدنا هذا التسلسل في التخلص بسرعة من الأخطاء ، مع التركيز على الجوانب الرئيسية للمستخدم.

يتم إطلاق المنتج في عدة مراحل. أولاً ، يتم نشره على بيئة اختبار لتحديد الأخطاء. ثم هناك خطأ في تحديد الأولويات بمستوى الخطورة 1 و 2. بعد ذلك ، نقوم بإصدار بيان للإنتاج. لبعض الوقت بعد الإصدار ، يشارك جزء من الفريق في إصلاح الخلل ذي الأولوية 3 و 4. وبعد بضعة أيام ، يوجد تحديث آخر في prod بعد إصلاح المشاكل المتبقية.

لضمان أقصى قدر من سلامة المنتج:

  • استخدم الاستعلامات ذات المعلمات إلى قاعدة البيانات.
  • تخلص من بناء الاستعلام داخل التطبيق لتجنب حقن SQL.
  • الاتصال بقاعدة البيانات فقط تحت حساب سلكي خاص مع الحد الأدنى الضروري من الحقوق.
  • الاحتفاظ بسجلات الأمان بانتظام.

لا تثق في إدخال المستخدم: يجب التحقق من أي بيانات من العميل (المستخدم) على الخادم. هذا سيمنع مرور البرامج النصية أو رموز سداسي عشرية ضارة. غالبًا ما يتم تمرير بيانات المستخدم كمعلمات لاستدعاء رمز آخر على الخادم ، وإذا لم يتم التحقق منه ، فيمكن أن يضر بشدة بأمان النظام. هذا هو السبب في أنه من المهم للغاية التحقق بدقة من جميع بيانات الإدخال للتأكد من صحتها.

Andrey Ryzhkin و Alexey Klinov من AGIMA - حول كيفية وسبب التحكم في أمان التطبيق في التطوير المخصص


يعد أمان البنية الرقمية لأي منتج سمة مهمة لكل من العمل والمستخدمين. هذا هو مؤشر إضافي للجودة والموثوقية ، والتي يجب الحفاظ عليها في جميع مراحل إنتاج التطبيق وتشغيله.

أي منظمة لديها معلومات قيمة ، والتي تشمل:

  • البيانات الشخصية للموظفين والعملاء.
  • الوصول إلى البيانات إلى البنك العميل.
  • بيانات العميل الشركة.
  • رسومات الإنتاج.
  • وثائق المشروع.
  • وغيرها

يتم ترجمة هذه البيانات في أنظمة مختلفة ، ومن الصعب للغاية التحكم في أمانها. وسرقة أو تحريف مثل هذه المعلومات يستتبع خسائر مالية كبيرة ، وانخفاض في سمعة المنظمة ، وفقدان العملاء والشركاء الرئيسيين ، وتعطيل المعاملات والمشاريع.

لكن مع ذلك ، هناك الكثير من أدوات حماية المعلومات في السوق:



ومن الممكن تنظيم حماية شاملة جيدة - ستكون هناك رغبة ووسائل.

ماذا عن أمان التطبيق؟


يحتاج العمل إلى تطبيق مستقر وعامل مع وظائف فعالة يمكن أن تحقق عوائد مالية. ولكن بغض النظر عن مدى قد يكون التطبيق مثاليًا من حيث الأداء الوظيفي ، فقد يحتوي على قطع أثرية متعلقة بمواطن الضعف. عادةً ما لا يفكرون في الأمر ، لأن هذه القطع الأثرية لا تتجلى في لحظة معينة - حتى يحتاجها المتنافسون أو المتسللون الفضوليون. يمكن استغلال نقاط الضعف لغرض محاولة التسلل إلى البنية الأساسية للمؤسسة من خلال موقع ويب أو تطبيق أو للوصول إلى البيانات القيمة التي يعالجها هذا التطبيق أو يخزنه. نتيجة لذلك ، يمكن أن تتأثر الشركة بشكل خطير.

لسوء الحظ ، لا يزال تحليل الأمان نادرًا للتطوير المخصص. السبب هو تفرد المشاريع. كلهم مختلفون للغاية ، ولكل منهم احتياجاته الخاصة. هذا يؤثر على تكلفة التحليل. نظرًا لانخفاض هامش الأعمال ، فإن وضع العملية في عملية تطوير مخصصة أمر غير ممكن دائمًا. ومع ذلك ، فمن الأفضل عدم إهمال العملية.

كيفية منع سرقة البيانات من التطبيق؟


من بداية تطوير تطبيق جوال أو تطبيق ويب ، من المنطقي تقديم تحليل لرمز المنتج للأمان.

لا يمكنك الاعتماد فقط على WAF (جدار الحماية) من حيث الحماية: قد لا تعمل القاعدة أو قد يتم استخدام التكوين غير الصحيح أو التوقيعات القديمة. مجموعة من التدابير فقط: سيساعد استخدام التحليل الثابت لكود المصدر أثناء عملية التطوير والتحليل الفعال في بيئة قتالية واختبار القلم و WAF والحماية ضد DDoS على ضمان مستوى عالٍ من أمان التطبيق.
ستكشف الماسحات الضوئية الآلية واختبار القلم نقاط الضعف التي لا يمكن تحديدها من خلال تحليل الكود أثناء التطوير.

كيفية تنظيم عملية اختبار الثغرات الأمنية؟


تطبق AGIMA عدة طرق لتحليل رمز الحماية:

  • التكامل التام خلال تطوير CI / CD.
  • التدقيق الأمني ​​عند نقاط التفتيش.
  • التدقيق الأمني ​​أو لمرة واحدة.

الخيار المثالي هو دمج تحليل الأمان في عملية التطوير. هذا النهج وثيق الصلة بالمشاريع التي قام المطور نفسه بتطويرها لفترة طويلة.

الخيار الثاني هو التدقيق الأمني ​​عند نقاط التفتيش. هذه الطريقة مناسبة إذا كان لدى المنتج إصدارات نادرة ويمكن أن يكون إضافة رائعة للتحليل المتكامل.

من المنطقي تطبيق التدقيق الظرفي أو لمرة واحدة إذا كان المشروع بسيطًا جدًا ، أو إذا تم نقله من مطور آخر. في الحالة الثانية ، من المهم تحديد الدين الفني للمنتج - عدد الأخطاء الموجودة ومواطن الضعف. بعد ذلك ، تحتاج إلى إنشاء خريطة طريق للقضاء عليها. في بعض الأحيان يمكن إصلاح كل شيء في المرحلة الأولى. إذا كان هناك العديد من المشاكل ، فسيتعين عليك التعامل معها في عملية تطوير إضافية. أولا ، القضاء على تلك الحرجة ، ثم أقل خطورة.

يتيح لك هذا النهج المكوّن من الإصدارات الثلاثة المذكورة أعلاه: تقليل عدد الثغرات المحتملة في الإصدار وتقليل الدين الفني للمنتج وتقصير الوقت الذي يستغرقه التطبيق ليتم بيعه للمنتج

نتيجة تحليل الأمان الذي تم تنفيذه في المراحل الأولى من التطوير هو:

  • , .
  • .
  • .


بدلا من الاستنتاج


اليوم ، أصبح البحث عن نقاط الضعف في منتجات البرمجيات وتطبيقات الجوال والويب مجالًا مهمًا لنشاط جميع المطورين الرائدين. يعتبر البعض أن تحليل ضعف الخبراء يمكن الاعتماد عليه واختبار الثقة للمتخصصين الداخليين. يستخدم آخرون اختبارات القلم ، والماسحات الضوئية ، ومحللات الكود. لا يزال البعض الآخر يدمج أدوات SAST في عملية التطوير. بالإضافة إلى ذلك ، يوصى بإنشاء نماذج تهديد وتحليل المخاطر المحتملة المرتبطة بسرقة وتشويه البيانات الهامة قبل بدء العمل.

لا تعتمد فقط على جدار الحماية وميزات الأمان المجانية. الطريقة الأكثر موثوقية هي استخدام نهج متكامل ، والتحقق بشكل منتظم وشامل من التعليمات البرمجية بحثًا عن الأخطاء ونقاط الضعف.

Source: https://habr.com/ru/post/ar460669/

More articles:


All Articles