Thiết kế không an toàn và các lỗi kiến trúc là một hạng mục rủi ro mới cho năm 2021, và việc vượt qua chiến lược “dịch chuyển sang trái” trong không gian lập trình để tiến hành các hoạt động trước mã hóa là rất quan trọng cho các nguyên tắc của Thiết kế An toàn từ đầu. Các Số liệt kê Điểm yếu Chung đáng chú ý bao gồm CWE-209, CWE-256, CWE-501 và CWE-522.
Thiết kế không an toàn đại diện cho “thiếu hoặc thiết kế kiểm soát không hiệu quả” và khác với việc triển khai không an toàn. Thiết kế an toàn là một nền văn hóa và phương pháp luận đánh giá các mối đe dọa và đảm bảo rằng mã được thiết kế và kiểm tra một cách chắc chắn nhằm ngăn chặn các phương pháp tấn công đã biết. Một chu trình phát triển bảo mật, các mẫu thiết kế an toàn, phương pháp luận đường bằng phẳng, thư viện thành phần bảo mật, công cụ và mô hình hóa mối đe dọa là cần thiết cho việc phát triển phần mềm an toàn.
Thiếu hồ sơ đánh giá rủi ro kinh doanh tự nhiên trong phần mềm hoặc hệ thống đang được phát triển là một trong những yếu tố góp phần vào thiết kế không an toàn. Để ngăn chặn thiết kế không an toàn, các chuyên gia AppSec nên được sử dụng để đánh giá và thiết kế các điều khiển liên quan đến bảo mật và quyền riêng tư, và một thư viện các mẫu thiết kế an toàn nên được thiết lập.
Mô hình hóa mối đe dọa nên được sử dụng cho xác thực quan trọng, kiểm soát truy cập, logic kinh doanh và các dòng chảy chính. Ngôn ngữ và điều khiển bảo mật nên được tích hợp vào các câu chuyện người dùng, và các kiểm tra khả thi nên được tích hợp ở mỗi tầng của ứng dụng. Cuối cùng, việc tiêu thụ tài nguyên bởi người dùng hoặc dịch vụ nên được giới hạn, và các tầng lớp trên hệ thống và các lớp mạng nên được phân chia tùy thuộc vào nhu cầu tiếp xúc và bảo vệ.
Để nâng cao thêm tính bảo mật của ứng dụng của bạn và bảo vệ khỏi thiết kế không an toàn, chúng tôi đề xuất sử dụng các dịch vụ như INFRA www.infrascan.net và check.website.