OWASP 10 aneb bezpečnostní mantra programátorů

Posted on Posted in DevOps

Jeden z mnoha programátorských evergreenů a zároveň téma, které spojuje celý IT svět. Ano, jak již správně tušíte jde o bezpečnost. Bezpečnost aplikací a systémů je téma, které bude doprovázet IT až do posledního dne. Ačkoliv je dnes přikládán bezpečnosti aplikací přece jenom větší důraz než dříve, tak jsme stále na začátku. Osobně si však myslím, že se chystá změna k lepšímu.

Často budete slýchat z úst především projektových manažerů a lidí z obchodu, že důležitý je hlavně termín dodání. “A hlavně aby to nějak fungovalo :)”. To však funguje pouze do chvíle, kdy se něco opravdu nestane. V tom případě se pak hledá viník nejdříve z řad programátorů. A vzniká velký údiv nad tím, že jste nedostatečně zabezpečili aplikace. Ne všechny firmy si mohou dopřát ten luxus a mít vlastní bezpečnostní tým, který dokáže aplikace testovat z pohledu bezpečnosti, před uvedením do produkce. Zároveň je nutné dodat, že pravděpodobně nebudete nejlepším bezpečnostním specialistou, pokud nebudete moci teto činnosti věnovat většinu pracovního času. A to je hlavním důvodem, proč zřejmě nepokryjete všechny bezpečnostní trhliny Vaší aplikace, ale rozhodně to není výmluva pro nepodchycení aspoň těch nejčastějších chyb.

 

Vektor útokuBezpečnostní rizika aplikací OWASP 10

Zde na scénu nastupuje OWASP top 10. Pokud jste se ještě s tímto termínem nesetkali, tak velmi zbystřete. OWASP (Open Web Application Security Project) je komunita, která se komplexně zabývá bezpečností webových aplikací. OWASP Top 10 je dokument popisující 10 nejčastějších chyb webových aplikací. Tento dokument, který je dostupný i v české verzi ,je rozhodně dobré  si přečíst. Sám se rozhodně nepovažuji za bezpečnostního specialistu, ale i proto je dobré znát aspoň nezbytný základ. Některé chyby plynou z lenosti a některé z technologické podstaty, ale žádná z prvních deseti zranitelností není opředena žádnou záhadou, takže je opravu dobré je mít na paměti při vývoji aplikací.

 

 

Je nutné si uvědomit, že nemusíte nutně skladovat citlivá data nebo údaje kreditních karet uživatelů, aby Vás jakýkoliv útok ohrozil. Můžete využívat pro autorizaci externích autorit, ale i tak může odstavení systému nebo únik neškodných dat poškodit Vaší obchodní značku a důvěru zákazníků. A o důvěru přijdete pouze jednou.

Je velmi důležité dát možnost programátorům, aby si jednotlivé zranitelnosti ozkoušeli a pochopili je. Ne že by se jednalo o něco složitého, ale většinou je problém v tom, že při vývoji nedostane programátor dostatek času na bezpečnostní problematiku. Další klíčovou vlastností pro osvojení základních bezpečnostních návyků je jejich trénink. Tím nemyslím, že začnete techniky používat na jiných webech, protože byste brzy zjistili, že velmi mnoho web. aplikací je napadnutelných. Ale například před vytvořením tasku ,work itemu nebo jiného požadavku na vývoj, zkuste přemýšlet jaké bezpečnostní rizika může mít váš zásah do systému,který budete dělat. Tím se neustále budete trénovat a začnete nad tématikou bezpečnosti přece jenom více uvažovat.

Leave a Reply

Your email address will not be published. Required fields are marked *