Når du er ferdig sikkerhetsvurderinger som en del av din web programutvikling, er det på tide å gå gjenopprette alle sikkerhetsproblemer avdekket i veien. Foreløpig bør utviklere, kvalitetssikring testere, revisorer og sikkerhetssjefer være et nært samarbeid i de gjeldende sikkerhetsprosesser i sin programvareutvikling livssyklus, for å eliminere programsårbarheter. Og Web Application Security vurderingsrapport for hånd, har du sannsynligvis nå har en lang liste over sikkerhetsproblemer må løses: small, medium og høy applikasjonssårbarheter, konfigurasjon gaffe i tilfeller der virksomheten logiske feil skape sikkerhetsrisikoer. For en omfattende oversikt over hvordan å lage web-applikasjon sikkerhetsvurdering, den første artikkelen i denne serien, en web-applikasjon sårbarhetsanalyse for å se etter. Ditt første skritt til et sikkert område
Først opp: betydningen av søknad og kategorisere sårbarheter
rense~~POS=TRUNC prosessen~~POS=HEADCOMP under web programutvikling og beskrevet den første fasen av prioriteringene i alt som har å bli bestemt av din søknad eller nettside. Fra et høyt nivå av sårbarheter er det to klasser: utvikling av feil og konfigurasjonsfeil. Som navnet sier, web programutvikling sårbarheter er de som skjedde under
konseptualisering og koding programmer. Dette er spørsmål om å leve i selve koden, eller arbeidsflyt applikasjoner som utviklere vil måtte forholde seg til. Ofte, men ikke alltid, kan disse typer feil ta mer tanke, tid og ressurser til å korrigere. Konfigurasjonsfeil er de som krever systeminnstillingene skal endres, må tjenesten deaktiveres, og andre. ,
Avhengig av hvordan organisasjonen er strukturen i disse programsårbarheter kan eller ikke kan håndteres av sine skapere. Ofte kan de bli håndtert av søknaden eller infrastrukturforvaltere. I alle fall, kan konfigurasjonsfeil, i mange tilfeller settes rett snart.
Utvikle retningslinjer for rengjøringsverktøy
Når programmet har blitt rangert sårbarheten og viktigheten av Web applikasjonsutvikling Neste trinnet er å anslå hvor lang tid det vil ta å gjennomføre endringene. Hvis du ikke er kjent med web programutvikling og revisjon sykluser, er dette en god ide å få utviklere til denne diskusjonen. Ikke bli for kornet her. Ideen er å få, hvor lang tid vil det ta å behandle ideen og komme i gang på bakgrunn av det meste av tiden, og kritiske sårbarheter første restaureringsarbeidet. Time eller vanskelighets anslag, kan være så enkelt som lett, moderat og alvorlig. Og utbedring vil begynne ikke bare med applicationvulnerabilities som utgjør den største risikoen, men de som også vil ta lengst tid å rette opp. For eksempel, for å begynne å fikse komplekse programsårbarheter som kan ta betydelig tid til den første, og vente i ca en halv tolv mellom feil som kan rettes opp i ettermiddag. Etter denne prosessen, web programutvikling, vil bli ekskludert fra utvidelse, forlengelse, eller utsette programmet er installert, fordi det tok lenger tid enn forventet å løse alle sikkerhetsrelaterte mangler i fellen.
Det er verdt å merke seg at eventuelle forretningslogikk problemer identifisert i bedømmelsen må vurderes nøye innen Web applikasjonsutvikling fase av prioriteringene. Mange ganger, fordi du har å gjøre med logikken - som en applikasjon faktisk flyter å nøye vurdere hvordan man kan løse disse programsårbarheter. Hva kan virke enkelt, kan det være ganske vanskelig. Så du ønsker å jobbe tett med utviklerne, sikkerhetsteam, og konsulenter for å lage den beste forretningslogikk feilretting normalt vil være mulig å vurdere nøyaktig hvor lang tid det vil ta å rette opp.
En av vanskelighetene som du ønsker å unngå bruk av konsulenter i løpet av web programutvikling, derimot, er manglende evne til å skape de rette forventninger. Selv om mange av konsulenter vil gi hull å bli identifisert, liste, blir de ofte oversett, at organisasjonen har informasjon om hvordan du løser problemet. Det er viktig å sette forventninger med din kompetanse, eller et hus eller outsourcet, for å gi informasjon om hvordan du kan identifisere sikkerhets defekter. Challenge, men uten riktig detalj, utdanning og veiledning til utviklere som skapte den sårbare koden web programutvikling syklus kan ikke vite hvordan de skal løse problemet. Her er grunnen til at søknaden sikkerhetskonsulent for utviklere, eller en av sikkerhetsteamet er svært viktig å sørge for at de kommer på riktig måte. På denne måten din web programutvikling, møtte tidsfrister og sikkerhetsproblemer blir identifisert
Testing og validering. Uansett vil gjøre programsårbarheter har blitt funnet
Den neste web programutvikling livsløpsfase er nådd, og før påføring av sårbarhet (forhåpentligvis) er anbefalt utviklerne tid til å verifisere at søkeren re-evaluere holdning, eller regresjon. For denne vurderingen, er det viktig at utviklerne er ikke de eneste som har ansvar for å vurdere koden din. De skal allerede ha gjennomført sin sjekk. Dette elementet er verdt å være, fordi mange ganger selskaper error tillater utviklere å teste sine applikasjoner gjennom re-evaluering av web programutvikling livssyklus. Og fremgang, sjekk det ofte skjer at utviklerne ikke bare unnlatt å identifisere
svakheter knyttet utbedring, men de også innføre ytterligere sikkerhetsproblemer og mange andre feil som måtte bli bestemt. Det er derfor det er viktig at en selvstendig enhet, eller en in-house team eller til konsulenten, for å gjennomgå koden for å sikre at alt ble gjort riktig.
I andre områder av risikoreduksjon
Selv om du kan kontrollere tilgangen til din bestilling via web programutvikling, ikke alle programsårbarheter kan bli funnet raskt nok til å møte sanntid distribusjon. Og oppdager et sikkerhetsproblem som kan ta flere uker å rette opp så langt som produksjon nervepirrende. I situasjoner som dette, trenger du ikke alltid har kontroll over din webapplikasjon sikkerhetsrisikoer. Dette gjelder spesielt for programmer som du kjøper vil være programsårbarheter som går unpatched lenge selger. Snarere enn å drive en høy risiko, anbefaler vi at du vurdere andre måter å redusere risikoen. Dette kan være en egen søknad fra andre deler av nettverket, begrense tilgangen så langt som mulig, det berørte programmet, eller endre konfigurasjonen av programmet, hvis det er mulig. Ideen om å se på andre måter å redusere risiko, mens du venter å sette systemets arkitektur. Du kan også vurdere muligheten for å innføre en elektronisk søknad, brannmuren (en spesiallaget brannmur utformet for å beskytte web-applikasjoner, og for å møte deres sikkerhetspolitikk), som kan gi deg en rimelig midlertidig løsning. Selv om du ikke kan stole på slike brannmurer for å redusere risikoen for all sin uendelige, de kan gi en god skjold for å kjøpe deg tid, og web programutvikling team lager et sett.
Det er derfor Internett-sikkerhetsprogramvare beste måte å bygge sikkerhetsbevissthet blant utviklere og kvalitetssikring testere og innpode beste praksis i hele Web applikasjonsutvikling livssyklus - fra sin arkitektur gjennom sin levetid produkter.
oppnå dette nivået av modenhet vil være en effektiv kontroll for å konsentrere seg om en permanent basis for sikkerhet. Den tredje og siste artikkelen vil gi rammen nødvendig for å skape en utvikling kultur som utvikler og implementerer en svært sikker og hele tiden.