Apa Selanjutnya untuk Pengembang
Tugas untuk membuat dan memelihara aplikasi yang aman, atau memperbaiki aplikasi yang sudah ada, bisa menjadi sulit. Ini tidak berbeda untuk API.
Kami percaya bahwa pendidikan dan kesadaran adalah faktor kunci dalam menulis perangkat lunak yang aman. Semua yang diperlukan untuk mencapai tujuan ini bergantung pada mendirikan dan menggunakan proses keamanan yang dapat diulang serta kendali keamanan standar.
OWASP menyediakan banyak sumber daya gratis dan terbuka untuk membantu Anda mengatasi masalah keamanan. Silakan kunjungi halaman Proyek OWASP untuk daftar komprehensif proyek yang tersedia.
Pendidikan | Pemandu Keamanan Aplikasi seharusnya memberi Anda gambaran baik tentang proyek-proyek yang tersedia untuk setiap tahap/fase Siklus Hidup Pengembangan Perangkat Lunak (SDLC). Untuk pembelajaran/latihan langsung, Anda dapat memulainya dengan OWASP crAPI - Completely Ridiculous API atau OWASP Juice Shop: keduanya memiliki API yang rentan secara disengaja. Proyek Direktori Aplikasi Web Rentan OWASP menyediakan daftar aplikasi yang rentan secara disengaja: Anda akan menemukan beberapa API rentan lainnya di sana. Anda juga dapat menghadiri sesi pelatihan Konferensi OWASP AppSec, atau bergabung dengan cabang lokal Anda. |
Persyaratan Keamanan | Keamanan seharusnya menjadi bagian setiap proyek sejak awal. Ketika mendefinisikan persyaratan, penting untuk mendefinisikan apa arti "aman" untuk proyek tersebut. OWASP merekomendasikan Anda menggunakan Standar Verifikasi Keamanan Aplikasi OWASP (ASVS) sebagai panduan untuk menetapkan persyaratan keamanan. Jika Anda mengalihdayakan, pertimbangkan Lampiran Kontrak Perangkat Lunak Aman OWASP, yang harus disesuaikan sesuai dengan hukum dan regulasi setempat. |
Arsitektur Keamanan | Keamanan seharusnya tetap menjadi perhatian selama semua tahapan proyek. Seri Contekan OWASP adalah titik awal yang baik untuk panduan tentang bagaimana mendesain keamanan selama fase arsitektur. Di antara banyak lainnya, Anda akan menemukan Contekan Keamanan REST dan Contekan Penilaian REST, serta Contekan GraphQL. |
Kendali Keamanan Standar | Mengadopsi kendali keamanan standar mengurangi risiko memasukkan kelemahan keamanan saat menulis logika Anda sendiri. Meskipun banyak kerangka kerja modern sekarang dilengkapi dengan kendali standar yang efektif, Kendali Proaktif OWASP memberikan pandangan yang baik tentang kendali keamanan apa yang seharusnya Anda sertakan dalam proyek Anda. OWASP juga menyediakan beberapa perpustakaan dan alat yang mungkin Anda temukan berguna, seperti kendali validasi. |
Siklus Hidup Pengembangan Perangkat Lunak Aman | Anda dapat menggunakan Model Kematangan Jaminan Perangkat Lunak OWASP (SAMM) untuk meningkatkan proses pembuatan API Anda. Beberapa proyek OWASP lainnya tersedia untuk membantu Anda dalam berbagai tahap pengembangan API, misalnya, Panduan Tinjauan Kode OWASP. |