URN_NBN_SI_DOC-RKSH48DC

SIR * IUS, september 2020 10 Ta standard lahko revizorji uporabijo kot t. i. kontrolni seznam (check-list) za preverjanje, kakšne varnostne mehanizme so razvijalci implementirali, ali kot dobro podlago za analizo s standardom NIST 800-63 Digital Identity Guidelines. Vsekakor pa se lahko standard ASVS uporabi samo delno, in sicer za tista področja, ki so predmet revizije aplikacije. Pri revizijah mobilnih aplikacij pa lahko pomaga dokument OWASP Mobile Application Security Verification Standard (MASVS) [8], ki govori o standardu s področja varnosti mobilnih aplikacij. 7. OWASP TOP 10 Proactive Controls Za varno aplikacijo je pomembno, da osvojijo in izvajajo različne tehnike varnega načina razvoja programske opreme. Vse komponente spletnih aplikacij, torej uporabniški vmesnik, poslovna logika, aplikacijski vmesniki, podatkovne povezave in drugi gradniki, morajo biti razvite z mislijo na informacijsko varnost. To je velikokrat težko, saj velika večina razvijalcev že v samem izobraževalnem procesu ni bila seznanjena z varnim načinom razvoja programske opreme. Velikokrat pa razvijalci niso bili deležni dodatnega izobraževanja s področja aplikacijske varnosti in se veliko ranljivosti, ki jih lahko povzroči slabo napisana koda, sploh ne zavedajo. OWASP Top 10 Proactive controls je tako seznam varnostnih tehnik, ki naj bi bile upoštevane pri vsakem projektu razvoja programske opreme. Tako najdemo na seznamu naslednje kontrole, ki so razvrščene po pomembnosti, in sicer od najpomembnejših do manj pomembnih: 1. Define Security Requirements – treba je opredeliti varnostne zahteve za aplikacijo, ki so lahko posledica zakonodajnih zahtev, industrijskih standardov ali zgodovine ranljivosti prejšnjih različic ali aplikacij. 2. Leverage Security Frameworks and Libraries – treba je uporabiti dobro znane in preverjene knjižnice, saj se tako lahko izognemo pomanjkanju znanja pri razvoju vseh funkcionalnosti. Treba je voditi seznam vseh zunanjih knjižnic in preverjati njihovo primernost med razvojem. 3. Secure Database Access – do podatkovne baze je treba dostopati na varen način in pri dostopu uporabiti varne poizvedbe, ki ne omogočajo SQL- vrivanja 4 . Treba je opraviti je tudi primerno konfiguracijo dostopov in varno avtentikacijo do podatkovne baze. 4 Napad, pri katerem se zlonamerna koda vstavi v SQL-ukazni niz, ki se posreduje podatkovni bazi kot legitimna poizvedba (vir: Islovar.org).