التصميم الآمن في بناء البرمجيات

يعكس التصميم الآمن في تطوير البرمجيات مبدأ تضمين الجانب الأمني في كل مرحلة من مراحل دورة حياة تطوير البرامج (SDLC) لإنتاج برنامج تم تصميمه ليكون آمنًا بشكل أساسي.

م/عمر عزيز الأغبري – خبير في الأمن السيبراني

في هذا العصر الرقمي نحن نتنفس داخل الفضاء السيبراني، و يأتي الاعتماد المزدهر على الفضاء الإلكتروني مع زيادة ملحوظة في عدد الهجمات السيبرانية، وقد تؤدي شدة الهجمات السيبرانية إلى أضرار اقتصادية ومالية كبيــرة وأضرار بسمعة المؤسسات والشركات.

من المهم أن يتم تزويد المطورين بالمعرفة والمهارات اللازمة لبناء برامج قوية وآمنة وخالية من الثغرات الأمنية وأكثر مرونة في مواجهة الهجمات السيبرانية.

إذا كنت مطور برامج ويب أو برامج الأجهزة المحمولة أنصحك بالاطلاع على OWSAP وسأقدم لك في هذا المقال نبذه عنها و إرشادات إلى أهم مصادرها و مشروعاتها.
نبدأ بأهم عشر مخاطر للامان ، من ثم أمان برمجيات الويب و الأجهزة المحمولة.

مؤسسة (OWSAP)

Open Web Application Security Project

هي مؤسسة غير ربحية تعمل على تحسين أمان البرامج. من خلال مشاريع البرمجيات مفتوحة المصدر التي يقودها المجتمع، ومئات الفصول المحلية في جميع أنحاء العالم، وعشرات الآلاف من الأعضاء، والمؤتمرات التعليمية والتدريبية الرائدة، تعد OWASP Foundation هي المصدر للمطورين والتقنيين لتأمين شبكة الويب وتوفر:

  1. الأدوات والموارد (برامج مجانية و وثائق قياسية، معايير وإرشادات و محددات عمل ).
  2. هيئة مجتمعية وشبكات التواصل.
  3. التعليم والتدريب.

1. OWASP Top Ten

OWASP Top 10 عبارة عن وثيقة توعية قياسية للمطورين وأمن تطبيقات الويب. تمثل إجماعًا واسعًا حول أكثر مخاطر الأمان أهمية لتطبيقات الويب، الجدول الذي في الرابط الموجود في الأسفل يبن الفروق في المخاطر بين عامي 2017 و 2021 :

العشر المخاطر أعلاه معترف بها عالميًا من قبل المطورين و يجب تجنبها كخطوة أولى نحو بناء أكواد أكثر أماناً، وعليه وجب التعرف عليها و على كيفية فحص الأكواد البرمجية و من ثم إعادة بنائها بشكل صحيح، الرابط ادناه يشرح كل نقطة.

2. The OWASP Application Security Verification Standard – ASVS

OWAAP ASVS هو معيار التحقق من أمان التطبيقات الخاصة بالويب. يوفر المشروع أساسا لاختبار عناصر التحكم في الأمان الفني لتطبيقات الويب، كما يوفر للمطورين قائمة بمتطلبات التطوير الآمن. و يتبعه مشروع دليل اختبار أمان الويب (WSTG) مورد اختبار الأمن السيبراني الأول لمطوري تطبيقات الويب ومحترفي الأمان.

3.The OWASP Mobile Application Security Verification Standard – MASVS

OWSAP MASVS هو معيار لأمان تطبيقات الأجهزة المحمولة. يمكن استخدامه من قبل مهندسي ومطوري برامج الأجهزة المحمولة الذين يسعون إلى تطوير تطبيقات آمنة للهاتف المحمول، بالإضافة إلى مختبري الأمان لضمان اكتمال نتائج الاختبار واتساقها.
يعد MSTG دليلًا شاملاً لاختبار أمان تطبيقات الأجهزة المحمولة والهندسة العكسية لمختبري أمان الأجهزة المحمولة لنظامي التشغيل iOS و Android مع المحتوى التالي:

  • المكونات الداخلية لمنصة المحمول.
  • اختبار الأمان في دورة حياة تطوير تطبيقات الأجهزة المحمولة.
  • اختبار الأمان الأساسي الثابت والديناميكي.
  • الهندسة العكسية لتطبيق الهاتف المحمول.
  • تقييم حماية البرامج.
  • حالات اختبار مفصلة تتناسب مع المتطلبات في MASVS.

4.OWASP Security Knowledge Framework OWASP-SKF –

أحد اهم مشاريع OWSAP هو بناء برنامج ويب يضع فيه إطار المعرفة الأمنية في جانب عملي سهل التطبيق و الممارسة، ويعد OWASP-SKF تطبيق ويب مفتوح المصدر يشرح مبادئ الأكواد الآمنة في لغات برمجة متعددة.

الهدف من OWASP-SKF هو مساعدتك على تعلم ودمج الأمان عن طريق التصميم في تطوير البرامج الخاصة بك وإنشاء تطبيقات آمنة حسب التصميم.

يقوم OWASP-SKF بهذا من خلال مشاريع تطوير البرامج التي يمكن إدارتها باستخدام قوائم المراجعة (باستخدام OWASP-ASVS / OWASP-MASVS أو قوائم التحقق الأمنية المخصصة).

والمختبرات لممارسة التحقق الأمني (باستخدام SKF-Labs و OWASP Juice-shop وأمثلة على أكواد الممارسات الأفضل من SKF و OWASP-Cheatsheets).

نتيجة تعقيد موضوع الأمن السيبراني وصعوبة تطبيق افضل الممارسات فإن أفضل بداية يجب أن تكون محددة واضحه سهلة التطبيق، النصيحة هنا دائماً أن تبدأ بأهم عشر مخاطر للامان، من ثم أمان برمجيات الويب أو الأجهزة المحمولة.

مقالات ذات صلة

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى