Безопасность приложений включает в себя меры по повышению уровня безопасности в приложении часто находя, фиксируя и предотвращение безопасности уязвимостей .
Различные методы используются для поверхности таких безопасности уязвимостей на различных этапах жизненного цикла приложений , таких проектирования , разработки , развертывания , модернизации или технического обслуживания .
Всегда развивается , но в основном последовательный набор общих недостатков безопасности рассматривается в различных приложениях, см общих недостатков
Условия
Активы . Ресурс значения , такие как данные в базе данных, деньги на счете, файл в файловой системе или какой - либо ресурс системы.
Уязвимость . Слабость или разрыв в безопасности программыкоторые могут быть использованы угрозами для получения несанкционированного доступа к активу.
Атака (или использовать). Действиепредпринятое нанести вред активу.
Угроза . Все , что может использовать уязвимость и получить, повреждения или уничтожения актива.
Методы
Различные методы будут находить различные подмножества уязвимостей, таящиеся в применении и являются наиболее эффективными в разное время в жизненном цикле программного обеспечения. Каждый из них представляют собой различные компромиссные времени, усилий, затрат и уязвимостей найдено.
Обзор безопасности Whitebox или обзор кода. Это инженер безопасности глубоко понимания приложения с помощью ручного анализа исходного кода и замечать недостатки безопасности. Через осмысление уязвимостей приложений, уникальных для приложения можно найти.
Blackbox аудит безопасности. Это только за счет использования приложения тестирования его на наличие уязвимостей безопасности, не требуется исходный код.
Дизайн обзор. Перед тем написан код работает через Threat_model приложения. Иногда наряду с спецификации или дизайн документа.
Инструментальное. Там существует множество автоматизированных инструментов, которые проверяют наличие дефектов безопасности, часто с более ложных срабатываний по сравнению с включением человека участие.
Используя эти методы , надлежащим образом на протяжении всего жизненного цикла разработки (SDLC) , чтобы максимизировать безопасность роль в команде безопасности приложения.
Мобильная безопасность приложений
Доля мобильных устройств , обеспечивающих открытую функциональность платформы , как ожидается , будет продолжать расти в будущем. Открытость этих платформ дает значительные возможности для всех частей мобильного эко-системы, предоставляя возможность для гибкой программы и службы доставки = опции , которые могут быть установлены, удален или обновленные несколько раз в соответствии с потребностями и требованиями пользователя. Тем не менее, с открытостью приходит ответственность и неограниченный доступ к мобильным ресурсам и API , с помощью приложений неизвестного или ненадежного происхождения может привести к повреждению пользователя, устройства, сети или все из них, если не удалось с помощью соответствующих архитектур безопасности и сетевых мер предосторожности. Безопасность приложений обеспечивается в той или иной форме на большинстве открытых мобильных устройств на ОС ( Symbian OS , Microsoft, BREW , и т.д.). Промышленные группы также создали рекомендации , включая GSM Ассоциации и Open Mobile Terminal Platform (ОМТП).
Есть несколько стратегий для повышения безопасности мобильных приложений, включая
Применение белый список
Обеспечение безопасности транспортного уровня
Строгая аутентификация и авторизация
Шифрование данных при записи в память
Песочница приложений
Предоставление доступа к приложениям на уровне каждого API
Процессы, привязанные к идентификатору пользователя
Предопределенные взаимодействия между мобильным приложением и ОС
Требование ввода данных пользователя для привилегированного / повышенного доступа
Правильное обращение сессии
Тестирование безопасности для приложений
Методы тестирования безопасности обыскивают на наличие уязвимостей или уязвимостей в приложениях. Эти уязвимости оставить открытые приложения к эксплуатации. В идеале, тестирование безопасности осуществляется на протяжении всего жизненного цикла разработки программного обеспечения (SDLC) , так что уязвимости могут быть решены своевременно и тщательным образом. К сожалению, тестирование часто проводятся задним числом в конце цикла разработки.
Сканеры уязвимостей , а более конкретно веб - сканеры приложений, иначе известные как тестирование проникновения инструменты (т.е. этические инструменты взламывания) исторически используются организации безопасности в рамках корпораций и консультантов по безопасности для автоматизации тестирования безопасности запросов HTTP / ответов; Однако, это не является заменой необходимости фактического обзора исходного кода. Физические проверки кода исходного кода приложения может осуществляться вручную или в автоматическом режиме. Учитывая общий размер индивидуальных программ (часто 500000 строк кода или более), человеческий мозг не может выполнять всесторонний анализ потока данных , необходимых для того , чтобы полностью проверить все обходные пути прикладной программы , чтобы найти точки уязвимости. Человеческий мозг больше подходит для фильтрации,
Два типа автоматизированных средств , связанные с обнаружением уязвимости приложений (сканеры уязвимостей приложений) являются Проникновение тестированияинструментов (часто относит к категории Black Box Testing Tools) и статический анализ кода инструменты (часто относит к категории White Box Testing Tools).
По данным Gartner Research,»... следующее поколение современные Web и мобильные приложения требуют сочетаний SAST и ДАДУТ методы, а также новые испытания интерактивных приложений безопасности (IAST) подходы появились, сочетающие статические и динамические методы , чтобы улучшить тестирование ... ". Поскольку IAST сочетает в себе методы SAST и ДАСТ, полученные результаты весьма действенные, могут быть связаны с конкретной строки кода, и может быть записан для воспроизведения позже для разработчиков.
Банки и крупная электронная коммерция корпорация были очень рано профиль применяющей клиент для этих типов инструментов. Он обычно проводится в рамках этих фирм, как тестирование Black Box и инструменты тестирования White Box необходимы в погоне за безопасностью приложений. Как правило , расположены, черный ящик тестирования (то есть инструменты тестирования на проникновение) этические хакерские инструменты , используемые для нападения на поверхность для нанесения разоблачить уязвимости приостановленных в иерархии исходного кода. Тестирование на проникновение средства выполняются на уже развернутое приложении. White Box тестирование (то есть инструменты анализа исходного кода) используется либо группы безопасности приложений или группы разработки приложений. Обычно вводят в компании по организации безопасности приложений, инструменты White Box дополняют инструменты тестирования Black Box в том, что они дают определенную видимость в конкретные корневых уязвимости в исходном коде заранее исходный кода развертываются. Уязвимости , выявленные при тестировании White Box и тестирование черного ящика , как правило , в соответствии с OWASP систематике для ошибок кодирования программного обеспечения. Производители тестирования White Box недавно ввели динамические версии своих методов анализа исходного кода; который работает на развернутых приложений. Учитывая , что средства тестирования White Box имеют динамические версии , аналогичные инструменты тестирования Black Box, оба инструмент может быть соотнесен в той же парадигме обнаружения ошибок программного обеспечения , обеспечивающей полную защиту приложений для компании - клиента. Уязвимости , выявленные при тестировании White Box и тестирование черного ящика , как правило , в соответствии с OWASP систематике для ошибок кодирования программного обеспечения. Производители тестирования White Box недавно ввели динамические версии своих методов анализа исходного кода; который работает на развернутых приложений. Учитывая , что средства тестирования White Box имеют динамические версии , аналогичные инструменты тестирования Black Box, оба инструмент может быть соотнесен в той же парадигме обнаружения ошибок программного обеспечения , обеспечивающей полную защиту приложений для компании - клиента. Уязвимости , выявленные при тестировании White Box и тестирование черного ящика , как правило , в соответствии с OWASP систематике для ошибок кодирования программного обеспечения. Производители тестирования White Box недавно ввели динамические версии своих методов анализа исходного кода; который работает на развернутых приложений. Учитывая , что средства тестирования White Box имеют динамические версии , аналогичные инструменты тестирования Black Box, оба инструмент может быть соотнесен в той же парадигме обнаружения ошибок программного обеспечения , обеспечивающей полную защиту приложений для компании - клиента.
Достижения в профессиональной Malware , ориентированных на интернет - клиентов интернет - организаций наблюдается изменение требований к проектированию веб - приложений с 2007 года , как правило , предполагается , что значительная доля интернет - пользователей будет скомпрометирован через вредоносные программы , и что любые данные , поступающие от их инфицированного хозяина может быть испорчен. Таким образом, безопасность приложений начал проявляться более продвинутые анти-мошенничества и эвристического обнаружения систем в бэк-офисе, а не в клиентской стороне или веб - сервера кода.
