Επόμενα Βήματα για Προγραμματιστές
Η εργασία δημιουργίας και συντήρησης ασφαλούς λογισμικού καθώς και η επιδιόρθωση αυτού είναι δύσκολη υπόθεση. Το ίδιο ισχύει και για τα APIs.
Πιστεύουμε ότι η εκπαίδευση και η ευαισθητοποίηση είναι βασικοί παράγοντες για τη δημιουργία ασφαλούς λογισμικού. Τα υπόλοιπα που απαιτούνται για την επίτευξη του στόχου, εξαρτώνται από τη δημιουργία και τη χρήση επαναλαμβανόμενων διαδικασιών και τυπικών ελέγχων ασφαλείας.
Το OWASP διαθέτει πολλούς δωρεάν και ανοιχτούς πόρους για την αντιμετώπιση της ασφάλειας από την αρχή του έργου. Επισκεφτείτε τη σελίδα OWASP Projects για την ολοκληρωμένη λίστα των διαθέσιμων έργων.
Εκπαίδευση | Μπορείτε να ξεκινήσετε να διαβάζετε το υλικό του OWASP Education Project ανάλογα με το επάγγελμα και το ενδιαφέρον σας. Για πρακτική μάθηση, προσθέσαμε το crAPI - Completely Ridiculous API στον οδικό μας χάρτη (roadmap). Εν τω μεταξύ, μπορείτε να εξασκηθείτε στο WebAppSec χρησιμοποιώντας το OWASP DevSlop Pixi Module, μια ευάλωτη υπηρεσία WebApp και API που έχει σκοπό να διδάξει στους χρήστες πώς να δοκιμάζουν σύγχρονες εφαρμογές ιστού και API για ζητήματα ασφάλειας και πώς να γράφουν πιο ασφαλή APIs στο μέλλον. Μπορείτε επίσης να παρακολουθήσετε εκπαιδευτικές συνεδρίες του Συνεδρίου OWASP AppSec ή να εγγραφείτε στο τοπικό σας τμήμα. |
Απαιτήσεις Ασφαλείας | Η ασφάλεια πρέπει να είναι μέρος κάθε έργου (project) από την αρχή. Όταν βρίσκεστε στο στάδιο της εξαγωγής απαιτήσεων (requirements elicitation), είναι σημαντικό να ορίσετε τι σημαίνει "ασφαλές" για το έργο σας. Το OWASP συνιστά να χρησιμοποιείτε το Πρότυπο Επαλήθευσης Ασφάλειας Εφαρμογών OWASP (ASVS) (OWASP Application Security Verification Standard) ως οδηγό για τον καθορισμό των απαιτήσεων ασφαλείας. Εάν αναθέτετε το έργο σας σε εξωτερικούς συνεργάτες (outsourcing), εξετάστε το Παράρτημα Σύμβασης Ασφαλούς Λογισμικού OWASP, το οποίο θα πρέπει να προσαρμοστεί σύμφωνα με την τοπική νομοθεσία και τους κανονισμούς της. |
Αρχιτεκτονική Ασφαλείας | Η ασφάλεια θα πρέπει να λαμβάνεται υπόψιν σε όλα τα στάδια του έργου. Τα Σκονάκια Πρόληψης OWASP (OWASP Prevention Cheat Sheets) είναι ένα καλό σημείο εκκίνησης για καθοδήγηση σχετικά με τον τρόπο σχεδιασμού ασφάλειας κατά τη φάση σχεδιασμού / αρχιτεκτονικής. Μεταξύ πολλών άλλων, θα βρείτε το σκονάκι REST Security Cheat Sheet και το σκονάκι REST Assessment Cheat Sheet. |
Τυπικοί Έλεγχοι Ασφαλείας | Η υιοθέτηση Τυποποιημένων Μηχανισμών Ελέγχων Ασφαλείας (Standard Security Controls) μειώνει τον κίνδυνο εισαγωγής αδυναμιών ασφαλείας κατά την διάρκεια υλοποίησης της λογικής του λογισμικού σας. Παρά το γεγονός ότι πολλά σύγχρονα frameworks διαθέτουν πλέον ενσωματωμένους τυπικούς αποτελεσματικούς ελέγχους, τα OWASP Proactive Controls σας παρέχουν μια καλή επισκόπηση των στοιχείων ελέγχου ασφαλείας που πρέπει να συμπεριλάβετε στο έργο σας. Το OWASP παρέχει επίσης ορισμένες βιβλιοθήκες και εργαλεία που μπορεί να σας φανούν πολύτιμα, όπως στοιχεία ελέγχου επικύρωσης (validation controls). |
Κύκλος Ζωής Ασφαλούς Ανάπτυξης Λογισμικού | Μπορείτε να χρησιμοποιήσετε το OWASP Software Assurance Maturity Model (SAMM) για να βελτιώσετε τη διαδικασία κατά τη δημιουργία των APIs. Πολλά ακόμα έργα OWASP είναι διαθέσιμα για να σας βοηθήσουν σε όλες τις διαφορετικές φάσεις ανάπτυξης API, π.χ., το Έργο Αναθεώρησης Κώδικα OWASP (OWASP Code Review Project). |