Observe las precauciones de seguridad.

Todas nuestras aplicaciones pueden ser vulnerables a vulnerabilidades de una forma u otra. Esto, a su vez, puede provocar pérdidas económicas y provocar la filtración de datos de los clientes. 

¿Por qué y contra qué defenderse? ¿Qué herramientas existen para esto, incluido el código abierto? ¿Qué es un ciclo de vida de desarrollo de software seguro? Alexander Kiverin, CTO de Ak Bars Digital Technologies, habló sobre la experiencia de su empresa en TechLead Conf 2020 Online. Y hemos preparado una transcripción.

¿Por qué defenderse? Hay una respuesta clara a esta pregunta: las vulnerabilidades de las aplicaciones pueden traer riesgos financieros o de reputación para la empresa (y posiblemente ambos). Por tanto, la seguridad es importante para todos. ¿Y contra qué vale la pena defenderse?

Las aplicaciones desarrolladas por nosotros, ingenieros, tienen varios puntos donde las vulnerabilidades se esconden con mayor frecuencia:

• Inyecciones: SQL, LDAP, XPath;

  
  
  
  
  

• Criptografía débil;

  
  
  
  
  

• Transmisión insegura de información;

  
  
  
  
  

• Manejo incorrecto de errores;

  
  
  
  
  

• Divulgación de información;

  
  
  
  
  

• Scripting entre sitios (XSS);

  
  
  
  
  

• Falsificación de solicitud entre sitios (CSRF);

  
  
  
  
  

• ;

  
  
  
  
  

• .

  
  
  
  
  

SSDLC 

« , ».

SDLC — Software Develop Life Cycle — , :

• ;

  
  
  
  
  

• ;

  
  
  
  
  

• ;

  
  
  
  
  

• ;

  
  
  
  
  

• .

  
  
  
  
  

, Secure SDLC — . 

. — , . — .

. .

SSDLC

Agile. - , , Scrum. SSDLC ?

, , .

:

• ;

  
  
  
  
  

• ( - );

  
  
  
  
  

• ;

  
  
  
  
  

• ;

  
  
  
  
  

• ;

  
  
  
  
  

• feature freeze;

  
  
  
  
  

• .

  
  
  
  
  

, , . .

(PBR)

« , ».

, , , . 

, JIRA. : priority, severity, , .. 

 

« ».

, , .

? , , . : , DFD (Data Flow Diagrams):

, , , . . , , . , . — , , .

« , “” ».

, . , , «» . , .

«» ?

Priority —  , issues. 

, , Severity (). , Severity (Critical, High, Medium, Low, Info). Severity , . , .

— Risk. — Severity, scoring:

Risk = Severity score = (Application score + Business Impact)/2

Risk Application score, :

Application score = InCode Severity score Nessus Severity score SonarQube Severity score

, Business Impact, , - , -, privacy . :

Business Impact = (Financial Damage + Reputation Damage + Non-Compliance + Privacy Violation)/4

Product Owner.  Business Impact, , .

 

« , OWASP».

— OWASP — Open Web Application Security Project.

-. . , open source .

OWASP Top Ten :

• (A1) Injection;

  
  
  
  
  

• (A2) Broken Authentication;

  
  
  
  
  

• (A3) Sensitive Data Exposure;

  
  
  
  
  

• (A4) XML External Entities (XXE);

  
  
  
  
  

• (A5) Broken Access Control;

  
  
  
  
  

• (A6) Security Misconfiguration;

  
  
  
  
  

• (A7) Cross-Site Scripting (XSS);

  
  
  
  
  

• (A8) Insecure Deserialization;

  
  
  
  
  

• (A9) Using Components w/ Known Vulnerabilities;

  
  
  
  
  

• (A10) Insufficient Logging & Monitoring.

  
  
  
  
  

. .

:

(A1) .

• - (ORM). , .

  
  
  
  
  

• .

  
  
  
  
  

• .

  
  
  
  
  

• SQL, SQL, , .

  
  
  
  
  

(2) .

• SHA256.

  
  
  
  
  

• . , -, , -, , - , .

  
  
  
  
  

• .

  
  
  
  
  

• .

  
  
  
  
  

• .

  
  
  
  
  

• 2FA. , .

  
  
  
  
  

(5) .

• , , . 

  
  
  
  
  

• CORS. - , redirect’ . , . , CSRF .

  
  
  
  
  

• ( JWT-). (SSO-), .

  
  
  
  
  

• . , , , , .

  
  
  
  
  

• Rate limit. « N ». , DDoS-.

  
  
  
  
  

(6) :

• .

  
  
  
  
  

• .

  
  
  
  
  

• .

  
  
  
  
  

, . - , .

(7) XSS ( JavaScript ).

• .

  
  
  
  
  

• Content Security Policy (CSP).

  
  
  
  
  

• X-XSS-Protection.

  
  
  
  
  

• ookies: HTTP-only, Secure, SameSite.

  
  
  
  
  

• / (, Microsoft AntiXSS).

  
  
  
  
  

(A10) .

OWASP , - . . .  

• PAN, CVV / CVC;

  
  
  
  
  

• PIN ;

  
  
  
  
  

• OTP;

  
  
  
  
  

• cookie;

  
  
  
  
  

• , ;

  
  
  
  
  

• .

  
  
  
  
  

, . , .

Code Review 

« , ».

-. , .

, :

Feature Freeze 

« QA SAST DAST, , , ».

Feature Freeze , - , , - . . .

SAST-. , :

Solar APPscreener. ( : C#, JS, Java, Python). , .

SonarQube. . , dependency-check. . . , . community edition, .

Dependency Check. — . . 

Trivy. . ( ).

, DAST- — Dynamic Application Security Testing — . DAST .

:

ZAP OWASP. . , . CI/CD.

Burp Suite. -.

Nessus. . , OpenVAS.

WFuzz. . 

, . , , . , .

« , – ».

— . , — , - , .

DefectDojo, . , , , .

 

« – S1/S2 P1 ».

— ! (Severity) quality assurance ( ):

• S1 (Blocker);

  
  
  
  
  

• S2 (Critical);

  
  
  
  
  

• S3 (Major); 

  
  
  
  
  

• S4 (Minor);

  
  
  
  
  

• S5 (Trivial).

  
  
  
  
  

:

• P1 Highest;

  
  
  
  
  

• P2 High;

  
  
  
  
  

• P3 Medium;

  
  
  
  
  

• P4 Low; 

  
  
  
  
  

• P5 Lowest.

  
  
  
  
  

, S1/S2 P1 .

 

« , ».

, , Trivy, CI/CD pipeline . , CI/CD pipeline . , , ..

() 

« , ».

— . , . , , , .

. , PCI DSS, , , . 

CI/CD pipeline :

Recovery policy

« . . DevOps – CALMR».

— (Recovery). , . 

. , Feature Freeze , - . : — , — .

Security Champions

« AppSec , . Security Champions».

, , Security Champions. , .

Security Champion — , , Quality Assurance , , .

, , . Quality Assurance , . .

, , . 

Security Champion:

• SSDLC

  
  
  
  
  

• ;

  
  
  
  
  

• OWASP Top 10 Web and Mobile;

  
  
  
  
  

• , .

  
  
  
  
  

, . 

SecChamp : 

• – , ; 

  
  
  
  
  

• – ;

  
  
  
  
  

• – ;

  
  
  
  
  

• ;

  
  
  
  
  

• – , , ;

  
  
  
  
  

• ..

  
  
  
  
  

,

« knowledge base confluence , . , Security Champions »‎.

Security Champions , :

• welcome guide;

  
  
  
  
  

• ;

  
  
  
  
  

• ;

  
  
  
  
  

• ;

  
  
  
  
  

• ;

  
  
  
  
  

• - ;

  
  
  
  
  

• ;

  
  
  
  
  

• .

  
  
  
  
  

, .

: . . , !

TechLead Conf 2021 — , — : 30 1 Radisson Slavyanskaya ().  .   .    TechLead Conf 2020.

!