Небезопасное проектирование и архитектурные недостатки являются новой категорией рисков для 2021 года, и важно выйти за пределы “сдвига влево” в области кодирования для проведения предварительных действий до написания кода, критически важных для принципов Безопасного проектирования. Известные перечни общих уязвимостей (CWE) включают CWE-209, CWE-256, CWE-501 и CWE-522.
Небезопасное проектирование означает “отсутствие или неэффективное проектирование контроля” и отличается от небезопасной реализации. Безопасное проектирование – это культура и методология, которая оценивает угрозы и гарантирует, что код разработан и протестирован с учетом известных методов атаки. Для безопасной разработки программного обеспечения необходимы безопасный жизненный цикл разработки, шаблоны безопасного проектирования, методология “мощной дороги”, защищенная библиотека компонентов, инструменты и моделирование угроз.
Отсутствие профилирования бизнес-рисков, связанных с разрабатываемым программным обеспечением или системой, является одним из факторов, способствующих небезопасному проектированию. Чтобы предотвратить небезопасное проектирование, необходимо использовать специалистов по безопасности приложений (AppSec) для оценки и проектирования контролов безопасности и конфиденциальности, а также создать библиотеку безопасных шаблонов проектирования.
Моделирование угроз следует использовать для критической аутентификации, контроля доступа, бизнес-логики и основных потоков. Язык безопасности и контроли должны быть интегрированы в пользовательские истории, а проверки правдоподобности должны быть интегрированы на каждом уровне приложения. Наконец, потребление ресурсов пользователем или службой следует ограничить, а уровни системы и сетевых слоев должны быть разделены в зависимости от степени экспозиции и потребностей в защите.
Для дальнейшего повышения безопасности вашего приложения и защиты от небезопасного проектирования, мы рекомендуем использовать услуги, такие как INFRA www.infrascan.net и check.website.