Удосконалення процесу SDL веб-додатків для запобігання вразливостям Insecure Design

Анотація

Згідно з останнім списком “OWASP Top Ten”, вразливість “Insecure Design” є одним з ключових факторів, що впливають на рівень захисту даних та функціональної надійності. Посилення уваги до цієї проблематики є актуальним, оскільки дана вразливість вперше з'явилася в списку OWASP і лише коротко описана в ньому. Дане дослідження спрямоване на виявлення та аналіз архітектурних вразливостей веб-додатків, що виникають внаслідок “Insecure Design”. Мета полягає не лише у виявленні конкретних вразливостей у процесі розробки та реалізації веб-додатків, але й у розробці
детального переліку рекомендацій, які допоможуть не лише уникнути подібних проблем у майбутньому, але й створити хорошу основу для безпечної розробки веб-додатків з самого початку. Для того, щоб побудувати системний підхід до безпеки на всіх етапах розробки, тут розглядаються рекомендації зі стандарту «Життєвий цикл розробки програмного забезпечення» (SDL). Особлива увага приділяється інтеграції принципів безпеки на всіх етапах життєвого циклу розробки. Аналіз базується на дослідженні існуючих архітектурних рішень, вивченні вразливостей та розробці методів їх усунення. Розроблений набір рекомендацій щодо підвищення безпеки веб-додатків включає заходи з архітектурного проектування, процесів верифікації та валідації, а також раннього виявлення потенційних вразливостей. Значну увагу приділено розробці
безпечного коду, впровадженню політик безпеки та організації навчання розробників. Дослідження підкреслює важливість інтеграції безпеки в процес розробки веб-додатків з самого початку. Наукова новизна полягає в систематизації та розробці підходів до виявлення та усунення архітектурних вразливостей, спричинених “Insecure Design”. Практична значущість роботи полягає у підвищенні рівня безпеки веб-додатків, зниженні ризиків для бізнесу та користувачів, а також у формуванні культури безпеки серед розробників.