Tətbiq təhlükəsizliyi
Tətbiq təhlükəsizliyi — proqram təminatının, mobil tətbiqlərin və veb tətbiqlərin məlumatlarının və sistemlərinin qorunması üçün nəzərdə tutulmuş bir yanaşmadır.[1][2] Bu sahə, tətbiqlərin inkişafından, yerləşdirilməsindən və idarə olunmasından əvvəl, zamanında və sonra müxtəlif təhlükəsizlik tədbirlərinin görülməsini əhatə edir. Tətbiq təhlükəsizliyi, məlumatların məxfiliyini, bütövlüyünü və əlçatanlığını təmin etməyə yönəlmişdir.[3]
Əsas məqsədləri
redaktə- Məlumatların qorunması — tətbiqlərdə istifadə olunan məlumatların (şəxsi, maliyyə, iş) qorunması, məlumatların izinsiz əldə olunmasından, dəyişdirilməsindən və ya silinməsindən qorumaq.[4][5]
- Sistemlərin etibarlılığı — tətbiq sistemlərinin düzgün işləməsini və istifadəçi məlumatlarının təhlükəsizliyini təmin etmək.
- Təhlükəsizlik sınaqları — tətbiqlərdəki zəifliklərin aşkarlanması və aradan qaldırılması üçün müxtəlif təhlükəsizlik testlərinin keçirilməsi.
- Sosial mühitlərin idarəsi — tətbiq istifadəçilərinin və onların fəaliyyətlərinin izlənməsi, qorunması və təhlükəsizliyin təmin edilməsi.
Tətbiq təhlükəsizliyi, müasir proqram təminatının inkişafında və idarəsində əhəmiyyətli bir yer tutur.[6] Məlumatların qorunması, istifadəçi etibarının artırılması və sistemlərin etibarlılığının təmin edilməsi üçün güclü təhlükəsizlik tədbirlərinin görülməsi vacibdir. Bu sahədəki inkişaflar, informasiya texnologiyalarının geniş yayılması ilə yanaşı, daha da əhəmiyyətli hala gəlir.[7] Tətbiq təhlükəsizliyi sahəsindəki tədqiqatlar və innovasiyalar, müasir dövrdə sosial və iqtisadi əhəmiyyətini artırır.[8]
Tətbiq təhlükəsizliyinin tətbiqi
redaktə- Kodun təhlükəsizliyi — tətbiq kodunun yazılmasında təhlükəsizlik standartlarının və yaxşı təcrübələrin tətbiqi.
- Kodun yoxlanması — kodun təhlükəsizliyini təmin etmək üçün auditlərin keçirilməsi.
- Təhlükəsizlik testləri — tətbiqin zəifliklərini müəyyən etmək və aradan qaldırmaq üçün mütəmadi təhlükəsizlik testlərinin keçirilməsi.
- Penetrasiya testləri — hücum edənlərin metodlarına uyğun simulyasiyalar apararaq zəifliklərin aşkar edilməsi.
- Şifrələmə — məlumatların ötürülməsi və saxlanması zamanı müasir şifrələmə metodlarından istifadə edilməsi.
- Təhlükəsizlik protokolları — müxtəlif təhlükəsizlik protokollarının (HTTPS, OAuth, JWT) tətbiqi, tətbiqlərin təhlükəsizliyini artırır.
- Təhlükəsizlik tədqiqatları — yeni təhlükəsizlik tədqiqatlarının və təhdidlərin izlənməsi, tətbiq sistemlərinin müasir təhdidlərə qarşı mühafizəsi.
İstinadlar
redaktə- ↑ Williams, Jeff. "I Understand SAST and DAST But What is an IAST and Why Does it Matter?". Contrast Security. 2 July 2015. 11 April 2018 tarixində arxivləşdirilib. İstifadə tarixi: 10 April 2018.
- ↑ Velasco, Roberto. "What is IAST? All About Interactive Application Security Testing". Hdiv Security. 7 May 2020. 10 February 2023 tarixində arxivləşdirilib. İstifadə tarixi: 7 May 2020.
- ↑ Happe, Andreas. "What is AppSec anyways?". snikt.net. 3 June 2021. 16 March 2023 tarixində arxivləşdirilib. İstifadə tarixi: 29 October 2024.
- ↑ "Web Application Security Overview". 2015-10-23. 2018-04-11 tarixində arxivləşdirilib. İstifadə tarixi: 2024-10-29.
- ↑ Shuaibu, Bala Musa; Norwawi, Norita Md; Selamat, Mohd Hasan; Al-Alwani, Abdulkareem. "Systematic review of web application security development model". Artificial Intelligence Review. 43 (2). 2013-01-17: 259–276. doi:10.1007/s10462-012-9375-6. ISSN 0269-2821.
- ↑ Abezgauz, Irene. "Introduction to Interactive Application Security Testing". Quotium. February 17, 2014. April 3, 2018 tarixində orijinalından arxivləşdirilib. İstifadə tarixi: January 25, 2018.
- ↑ "Web Application Vulnerability Scanners". NIST. 2022-12-07 tarixində arxivləşdirilib. İstifadə tarixi: 2024-10-29.
- ↑ "OWASP Top 10 - 2021: The Ten Most Critical Web Application Security Risks". Open Web Application Security Project. 2021. June 8, 2023 tarixində arxivləşdirilib. İstifadə tarixi: January 11, 2022.