El disseny insegur i les deficiències arquitectòniques són una nova categoria de riscos per al 2021, i és crucial anar més enllà del “shift-left” en l’espai de la codificació per a realitzar activitats prèvies al codi que són crítiques pels principis de Disseny Segur. Les Notables Enumeracions Comunes de Febleses (CWEs) inclouen CWE-209, CWE-256, CWE-501 i CWE-522.
El disseny insegur representa una “manca o disseny de control ineficaç” i és diferent de la implementació insegura. El disseny segur és una cultura i metodologia que avalua les amenaces i garanteix que el codi estigui dissenyat i provat de manera robusta per a prevenir mètodes d’atac coneguts. Per al desenvolupament segur de software, es requereix un cicle de vida de desenvolupament segur, patrons de disseny segurs, una metodologia de camí pavimentat, una biblioteca de components segurs, eines i modelització de amenaces.
La manca de perfilatge de riscos empresarials inherents al software o sistema en desenvolupament és un dels factors que contribueixen al disseny insegur. Per prevenir el disseny insegur, cal utilitzar professionals d’AppSec per avaluar i dissenyar controls de seguretat i privadesa, i establir una biblioteca de patrons de disseny segurs.
Cal utilitzar la modelització de amenaces per a l’autenticació crítica, el control d’accés, la lògica empresarial i els fluxos clau. El llenguatge i els controls de seguretat s’han d’integrar a les històries d’usuari, i s’han d’incloure comprovacions de plausibilitat a cada nivell de l’aplicació. Finalment, cal limitar el consum de recursos per part de l’usuari o del servei, i les capes de nivell en els sistemes i les capes de xarxa s’han de segregar en funció de les necessitats d’exposició i protecció.
Per millorar encara més la seguretat de la vostra aplicació i protegir-vos contra el disseny insegur, us suggerim aprofitar serveis com INFRA www.infrascan.net i check.website.