Kirjeldus
Secure by Design on tarkvaraarendusfilosoofia, mis keskendub turvalisuse sisseehitamisele juba arenduse algfaasides. Selle eesmärk on tagada, et rakendused on turvalised vaikimisi, ilma et kasutajad peaksid lisakaitsemeetmeid rakendama.
Lähenemise aluseks on järgmised põhimõtted:
- Minimeeritud rünnakupind: Süsteemid peaksid olema kavandatud nii, et neil oleks võimalikult vähe komponente, mis võivad rünnakute sihtmärgiks saada.
- Vaikimisi turvaline: Kõik süsteemi osad peaksid olema vaikimisi turvalised, näiteks peaksid ligipääsukontrollid olema keelatud, kuni kasutaja annab loa.
- Kaitse rikkumise korral: Kui süsteem on ohustatud, peaksid olla meetmed, mis minimeerivad kahjusid (nt õiguste piiramise kaudu).
Arendustsükli joonis
Allolev joonis illustreerib Secure by Design arendustsüklit:
Head ja vead
Head küljed
- Vähendab vigade ja turvaaukude arvu tootmises.
- Tagab kasutajate andmete parema kaitse.
- Vähendab turvaintsidentide kulusid ja mainekahju riski.
- Soodustab standardiseeritud ja korduvkasutatavate turvalahenduste loomist.
Halvad küljed
- Nõuab suuremat alginvesteeringut aja ja ressursside osas.
- Keeruline rakendada ilma spetsiaalsete teadmiste ja koolitusteta.
- Võib suurendada arendusaja pikkust, eriti algfaasis.
Case-vahend: OWASP ZAP
OWASP ZAP (Zed Attack Proxy) on avatud lähtekoodiga tööriist, mis aitab turvaauke avastada ja parandada. Seda kasutatakse laialdaselt Secure by Design põhimõtete rakendamiseks rakenduste arendamise ja testimise käigus.
OWASP ZAP omadused
- Avastab veebirakenduste turvaaugud, näiteks XSS ja SQL Injection.
- Pakkub lihtsat kasutajaliidest nii algajatele kui ka kogenud kasutajatele.
- Integreerub hästi CI/CD töövoogudega ja toetab automatiseeritud turvatestimist.
Näide OWASP ZAP kasutamisest:
1. Installige OWASP ZAP.
2. Konfigureerige proksiserver testitava rakenduse jaoks.
3. Käivitage turvatest ja analüüsige leitud turvaauke.
4. Rakendage vajalikud parendused ja korrake testi.