Apa Selanjutnya untuk Pengembang
Tugas untuk membuat dan memelihara perangkat lunak yang aman, atau memperbaiki perangkat lunak yang ada, dapat sulit. API tidak berbeda.
Kami yakin bahwa pendidikan dan kesadaran adalah faktor kunci untuk menulis perangkat lunak yang aman. Semua hal lain yang diperlukan untuk mencapai tujuan, bergantung pada membangun dan menggunakan proses keamanan yang dapat diulang dan kontrol keamanan standar.
OWASP memiliki berbagai sumber daya gratis dan terbuka untuk mengatasi masalah keamanan sejak awal proyek. Silakan kunjungi halaman Proyek OWASP untuk daftar lengkap proyek yang tersedia.
Pendidikan | Anda dapat mulai membaca materi Proyek Pendidikan OWASP sesuai dengan profesi dan minat Anda. Untuk pembelajaran hands-on, kami menambahkan crAPI - Completely Ridiculous API dalam roadmap kami. Sementara itu, Anda dapat berlatih WebAppSec menggunakan Modul Pixi DevSlop OWASP, layanan WebApp dan API rentan yang bertujuan untuk mengajari pengguna cara menguji aplikasi web dan API modern untuk masalah keamanan, dan cara menulis API yang lebih aman di masa depan. Anda juga dapat menghadiri sesi pelatihan Konferensi OWASP AppSec, atau bergabung dengan chapter lokal Anda. |
Persyaratan Keamanan | Keamanan harus menjadi bagian dari setiap proyek sejak awal. Saat melakukan elicitation persyaratan, penting untuk mendefinisikan apa artinya "aman" untuk proyek tersebut. OWASP merekomendasikan Anda menggunakan OWASP Application Security Verification Standard (ASVS) sebagai panduan untuk menetapkan persyaratan keamanan. Jika Anda outsourcing, pertimbangkan OWASP Secure Software Contract Annex, yang harus disesuaikan sesuai hukum dan peraturan setempat. |
Arsitektur Keamanan | Keamanan harus tetap menjadi perhatian selama semua tahapan proyek. OWASP Prevention Cheat Sheets merupakan titik awal yang baik untuk panduan tentang cara merancang keamanan selama fase arsitektur. Di antara banyak lainnya, Anda akan menemukan REST Security Cheat Sheet dan REST Assessment Cheat Sheet. |
Kontrol Keamanan Standar | Mengadopsi Kontrol Keamanan Standar mengurangi risiko memperkenalkan kelemahan keamanan saat menulis logika Anda sendiri. Meskipun fakta banyak kerangka kerja modern sekarang datang dengan kontrol efektif standar bawaan, OWASP Proactive Controls memberi Anda gambaran yang baik tentang kontrol keamanan apa yang harus Anda cari untuk dimasukkan dalam proyek Anda. OWASP juga menyediakan beberapa pustaka dan alat yang mungkin Anda anggap berharga, seperti kontrol validasi. |
Siklus Hidup Pengembangan Perangkat Lunak yang Aman | Anda dapat menggunakan OWASP Software Assurance Maturity Model (SAMM) untuk meningkatkan proses saat membangun API. Beberapa proyek OWASP lainnya tersedia untuk membantu Anda selama fase pengembangan API yang berbeda misalnya, OWASP Code Review Project. |