Фонд безопасности с открытым исходным кодом недавно запустил три совершенно новых и бесплатных курса по разработке безопасного программного обеспечения, которые размещены на edX.
В настоящее время каждая компания — это разработчик программного обеспечения, независимо от того, в каком бизнесе она ведется, будь то финансы, производство или здравоохранение. Чтобы обеспечить ценность, предприятиям необходимо общаться с помощью программных приложений, созданных собственными силами или третьей стороной.
Проблема в том, что кибератаки будут атаковать эти приложения, исследуя их, чтобы выявить уязвимости, использовать их и получить доступ к вашим внутренним сетям, украсть данные компании и клиентов или просто создать хаос.
Эти уязвимости возникают из-за ошибок в программном обеспечении, и наиболее популярный способ поиска и исправления этих ошибок — применение таких инструментов, как SAST, к исходному коду. Тем не менее, все инструменты имеют ограничения. В статье «Будущее AppSec и почему я присоединился к r2c» Клинт Гиблер предлагает следующее:
Невозможно найти каждую ошибку, независимо от того, насколько продвинуты ваши инструменты.
Вместо этого он утверждает, что путь вперед таков:
создать безопасные по умолчанию библиотеки и инструменты, которые разработчики могут использовать для предотвращения целых классов уязвимостей путем создания, а затем убедиться, что разработчики их используют. Это то, что дальновидные группы безопасности в таких компаниях, как Google, Microsoft, Facebook, Netflix, Dropbox и многие другие верят и инвестируют в них годами.
Например:
Современные веб-фреймворки, такие как Django, Ruby on Rails и другие, имеют ряд безопасных значений по умолчанию и встроенные ограничения, которые делают потенциально опасные задачи безопасными по умолчанию, включая контекстно-зависимое кодирование вывода (предотвращение XSS), тесную интеграцию с объектно-реляционными преобразователями (предотвращение SQL-инъекция) и многое другое. По моему мнению и мнению многих других, именно поэтому улучшилась общая веб-безопасность, а не все причудливые инструменты для поиска ошибок, которые мы создали.
Вывод Гиблера таков:
Будущее AppSec — это один-два удара безопасных значений по умолчанию + легкое применение этих значений по умолчанию.