Введение

«Проактивная защита: Топ-10 требований OWASP 2018» представляет собой перечень методик по обеспечению безопасности и рекомендуется к использованию во всех проектах разработки ПО. Этот документ написан для разработчиков, еще не знакомых с безопасным программированием.

Одной из основных целей данного документа является создание практического руководства, позволяющего разработчикам создавать безопасное программное обеспечение. Приводимые в документе техники необходимо применять проактивно, на ранних стадиях разработки, для достижения максимальной эффективности.

Топ-10 требований к проактивной защите

Требования в списке располагаются по степени их важности, в пункте 1 указано самое важное из них:

  • C1: Определение требований безопасности
  • C2: Использование безопасных фреймворков и библиотек
  • C3: Обеспечение безопасного доступа к базам данных
  • C4: Кодирование и экранирование данных
  • C5: Обязательная проверка всех входных данных
  • C6: Внедрение цифровой идентификации
  • C7: Обязательный контроль доступа
  • C8: Повсеместная защита данных
  • C9: Внедрение журналирования и мониторинга событий безопасности
  • C10: Обязательная обработка всех ошибок и исключений

Как создавался список требований

Изначально данный список был составлен текущими руководителями проекта с участием нескольких добровольцев. Затем документ был опубликован в открытом доступе, чтобы даже анонимные пользователи могли вносить свои предложения. Сотни изменений были приняты на основе предложений, поступивших от сообщества.

Целевая аудитория

Документ предназначается прежде всего разработчикам. Однако, руководители разработки, менеджеры продуктов, специалисты по обеспечению качества, руководители проектов, а также остальные участники процесса создания программного обеспечения могут почерпнуть полезную информацию из данного документа.

Как пользоваться документом

Документ предназначен для ознакомления с основами разработки безопасного программного обеспечения, а также содержит хорошую подборку материалов, позволяющую создавать вводные курсы по безопасности ПО для разработчиков. Приведенные в документе рекомендации необходимо выполнять последовательно и в полной мере для всех без исключения приложений. Тем не менее, данный документ стоит рассматривать скорее как отправную точку, а не как исчерпывающий набор методов и практик. Полноценный процесс безопасной разработки должен включать в себя разносторонние требования из стандартов, подобных «Стандарту подтверждения безопасности приложений OWASP (ASVS)», а также предусматривать мероприятия по разработке ПО, описанные в моделях зрелости, таких как OWASP SAMM (Модель обеспечения безопасности ПО) и BSIMM (Сводная модель обеспечения безопасности ПО).