C2: Использование безопасных фреймворков и библиотек

Описание

Безопасные библиотеки и фреймворки со встроенными функциями безопасности помогают разработчикам избежать появления уязвимостей на этапе разработки и реализации. Разработчики, создающие приложение с нуля, могут не иметь достаточных знаний, времени или средств для реализации или поддержания безопасности приложения. Использование безопасных фреймворков позволяет добиваться безопасности приложений более эффективно.

Рекомендации по реализации

При включении сторонних библиотек или фреймворков в свое ПО необходимо учитывать следующие рекомендации:

  1. используйте библиотеки и фреймворки из доверенных источников, которые активно разрабатываются и широко применяются в приложениях;
  2. составьте и поддерживайте в актуальном состоянии каталог всех сторонних библиотек;
  3. своевременно обновляйте библиотеки и компоненты. Используйте инструменты, такие как Проверки зависимостей OWASP и Retire.JS, для определения зависимостей в проектах, а также проверяйте наличие известных и опубликованных уязвимостей в стороннем коде;
  4. для снижения вероятности атак используйте инкапсуляцию библиотек и только необходимую для вашего ПО функциональность.

Предотвращаемые уязвимости

Использование безопасных фреймворков и библиотек поможет избежать большого количество уязвимостей в веб-приложениях. Очень важно поддерживать эти фреймворки и библиотеки в актуальном состоянии, см. раздел об использовании компонентов с известными уязвимостями в Топ-10 2017.

Инструменты