Tətbiq təhlükəsizliyi

Tətbiq təhlükəsizliyi — proqram təminatının, mobil tətbiqlərin və veb tətbiqlərin məlumatlarının və sistemlərinin qorunması üçün nəzərdə tutulmuş bir yanaşmadır.[1][2] Bu sahə, tətbiqlərin inkişafından, yerləşdirilməsindən və idarə olunmasından əvvəl, zamanında və sonra müxtəlif təhlükəsizlik tədbirlərinin görülməsini əhatə edir. Tətbiq təhlükəsizliyi, məlumatların məxfiliyini, bütövlüyünü və əlçatanlığını təmin etməyə yönəlmişdir.[3]

Əsas məqsədləri

redaktə
  1. Məlumatların qorunması — tətbiqlərdə istifadə olunan məlumatların (şəxsi, maliyyə, iş) qorunması, məlumatların izinsiz əldə olunmasından, dəyişdirilməsindən və ya silinməsindən qorumaq.[4][5]
  2. Sistemlərin etibarlılığı — tətbiq sistemlərinin düzgün işləməsini və istifadəçi məlumatlarının təhlükəsizliyini təmin etmək.
  3. Təhlükəsizlik sınaqları — tətbiqlərdəki zəifliklərin aşkarlanması və aradan qaldırılması üçün müxtəlif təhlükəsizlik testlərinin keçirilməsi.
  4. Sosial mühitlərin idarəsi — tətbiq istifadəçilərinin və onların fəaliyyətlərinin izlənməsi, qorunması və təhlükəsizliyin təmin edilməsi.

Tətbiq təhlükəsizliyi, müasir proqram təminatının inkişafında və idarəsində əhəmiyyətli bir yer tutur.[6] Məlumatların qorunması, istifadəçi etibarının artırılması və sistemlərin etibarlılığının təmin edilməsi üçün güclü təhlükəsizlik tədbirlərinin görülməsi vacibdir. Bu sahədəki inkişaflar, informasiya texnologiyalarının geniş yayılması ilə yanaşı, daha da əhəmiyyətli hala gəlir.[7] Tətbiq təhlükəsizliyi sahəsindəki tədqiqatlar və innovasiyalar, müasir dövrdə sosial və iqtisadi əhəmiyyətini artırır.[8]

Tətbiq təhlükəsizliyinin tətbiqi

redaktə
  1. Kodun təhlükəsizliyi — tətbiq kodunun yazılmasında təhlükəsizlik standartlarının və yaxşı təcrübələrin tətbiqi.
  2. Kodun yoxlanması — kodun təhlükəsizliyini təmin etmək üçün auditlərin keçirilməsi.
  3. Təhlükəsizlik testləri — tətbiqin zəifliklərini müəyyən etmək və aradan qaldırmaq üçün mütəmadi təhlükəsizlik testlərinin keçirilməsi.
  4. Penetrasiya testləri — hücum edənlərin metodlarına uyğun simulyasiyalar apararaq zəifliklərin aşkar edilməsi.
  5. Şifrələmə — məlumatların ötürülməsi və saxlanması zamanı müasir şifrələmə metodlarından istifadə edilməsi.
  6. Təhlükəsizlik protokolları — müxtəlif təhlükəsizlik protokollarının (HTTPS, OAuth, JWT) tətbiqi, tətbiqlərin təhlükəsizliyini artırır.
  7. Təhlükəsizlik tədqiqatları — yeni təhlükəsizlik tədqiqatlarının və təhdidlərin izlənməsi, tətbiq sistemlərinin müasir təhdidlərə qarşı mühafizəsi.

İstinadlar

redaktə
  1. Williams, Jeff. "I Understand SAST and DAST But What is an IAST and Why Does it Matter?". Contrast Security. 2 July 2015. 11 April 2018 tarixində arxivləşdirilib. İstifadə tarixi: 10 April 2018.
  2. Velasco, Roberto. "What is IAST? All About Interactive Application Security Testing". Hdiv Security. 7 May 2020. 10 February 2023 tarixində arxivləşdirilib. İstifadə tarixi: 7 May 2020.
  3. Happe, Andreas. "What is AppSec anyways?". snikt.net. 3 June 2021. 16 March 2023 tarixində arxivləşdirilib. İstifadə tarixi: 29 October 2024.
  4. "Web Application Security Overview". 2015-10-23. 2018-04-11 tarixində arxivləşdirilib. İstifadə tarixi: 2024-10-29.
  5. Shuaibu, Bala Musa; Norwawi, Norita Md; Selamat, Mohd Hasan; Al-Alwani, Abdulkareem. "Systematic review of web application security development model". Artificial Intelligence Review. 43 (2). 2013-01-17: 259–276. doi:10.1007/s10462-012-9375-6. ISSN 0269-2821.
  6. Abezgauz, Irene. "Introduction to Interactive Application Security Testing". Quotium. February 17, 2014. April 3, 2018 tarixində orijinalından arxivləşdirilib. İstifadə tarixi: January 25, 2018.
  7. "Web Application Vulnerability Scanners". NIST. 2022-12-07 tarixində arxivləşdirilib. İstifadə tarixi: 2024-10-29.
  8. "OWASP Top 10 - 2021: The Ten Most Critical Web Application Security Risks". Open Web Application Security Project. 2021. June 8, 2023 tarixində arxivləşdirilib. İstifadə tarixi: January 11, 2022.