Дальнейшие шаги для разработчиков
Задача по созданию и поддержке ПО в безопасном состоянии, или исправлению уже существующего ПО может быть сложной. То же верно и для API.
Мы уверены, что обучение и осведомленность являются ключевыми факторами написания безопасного ПО. Все остальное, необходимое для достижения этой цели, зависит от налаженного и повторяемого процесса безопасности и стандартных мер защиты.
OWASP включает большое количество бесплатных открытых ресурсов по безопасности с самого начала проекта. Пожалуйста ознакомьтесь со страницей OWASP Projects, чтобы получить полный список доступных проектов.
| Обучение | Вы можете начать изучать материалы OWASP Education Project, в соответствии со своей профессией и интересами. Для получения практических знаний мы добавили crAPI - Completely Ridiculous API в наш план развития. Тем временем вы можете попрактиковаться в безопасности веб приложений, используя OWASP DevSlop Pixi Module - уязвимое веб приложение с API сервисом, направленное на обучение пользователей тестированию современных веб приложений и API на предмет ошибок безопасности и написанию более безопасных API в будущем. Вы также можете принять участие в практических сессиях конференции OWASP AppSec или присоединиться в вашему локальному отделению OWASP. |
| Требования по безопасности | Безопасность должна быть частью любого проекта с самого начала. На этапе сбора требований необходимо определить роль безопасности в проекте. OWASP рекомендует использовать OWASP Application Security Verification Standard (ASVS) в качестве руководства по постановке требований безопасности. Если вы пользуетесь услугами внешних разработчиков, рассмотрите проект OWASP Secure Software Contract Annex и адаптируйте его в соответствии с локальными законами и нормативными требованиями. |
| Безопасная архитектура | Безопасность должна получить должное внимание на всех этапах проекта. OWASP Prevention Cheat Sheets - хорошая отправная точка по проектированию механизмов безопасности на этапе архитектуры приложения. Среди прочего вы можете ознакомиться с REST Security Cheat Sheet и REST Assessment Cheat Sheet. |
| Стандартные меры безопасности | Внедрение стандартных мер безопасности снижает риск ошибок, связанных с безопасностью, в ходе написания логики приложения. Несмотря на то, что многие современные фреймворки включают в себя стандартные меры безопасности, OWASP Proactive Controls предоставляет хороший обзор мер безопасности, которые стоит включить в ваш проект. OWASP также предоставляет библиотеки и инструменты, которые могут вам пригодиться, например, механизмы валидации. |
| Жизненный цикл разработки безопасного ПО | Вы можете использовать OWASP Software Assurance Maturity Model (SAMM) для улучшения процессов создания API. Несколько других проектов OWASP могут помочь вам на различных этапах разработки API, например, OWASP Code Review Project. |