Tətbiq təhlükəsizliyi

Tətbiq təhlükəsizliyi — proqram təminatının, mobil tətbiqlərin və veb tətbiqlərin məlumatlarının və sistemlərinin qorunması üçün nəzərdə tutulmuş bir yanaşma.^[1]^[2] Bu sahə, tətbiqlərin inkişafından, yerləşdirilməsindən və idarə olunmasından əvvəl, zamanında və sonra müxtəlif təhlükəsizlik tədbirlərinin görülməsini əhatə edir. Tətbiq təhlükəsizliyi, məlumatların məxfiliyini, bütövlüyünü və əlçatanlığını təmin etməyə yönəlmişdir.^[3]

Əsas məqsədləri

Məlumatların mühafizəsi — tətbiqlərdə istifadə olunan məlumatların (şəxsi, maliyyə, iş) mühafizəsi, məlumatların icazəsiz əldə olunmasından, dəyişdirilməsindən və ya silinməsindən mühafizə etmək.^[4]^[5]
Sistemlərin etibarlılığı — tətbiq sistemlərinin düzgün işləməsini və istifadəçi məlumatlarının təhlükəsizliyini təmin etmək.
Təhlükəsizlik sınaqları — tətbiqlərdəki zəifliklərin aşkarlanması və aradan qaldırılması üçün müxtəlif təhlükəsizlik testlərinin keçirilməsi.
Sosial mühitlərin idarəsi — tətbiq istifadəçilərinin və onların fəaliyyətlərinin izlənməsi, mühafizəsi və təhlükəsizliyin təmin edilməsi.

Tətbiq təhlükəsizliyi, müasir proqram təminatının inkişafında və idarəsində əhəmiyyətli bir yer tutur.^[6] Məlumatların mühafizəsi, istifadəçi etibarının artırılması və sistemlərin etibarlılığının təmin edilməsi üçün güclü təhlükəsizlik tədbirlərinin görülməsi vacibdir. Bu sahədəki inkişaflar, informasiya texnologiyalarının geniş yayılması ilə yanaşı, daha da əhəmiyyətli hala gəlir.^[7] Tətbiq təhlükəsizliyi sahəsindəki tədqiqatlar və innovasiyalar, müasir dövrdə sosial və iqtisadi əhəmiyyətini artırır.^[8]

Tətbiq təhlükəsizliyinin tətbiqi

Kodun təhlükəsizliyi — tətbiq kodunun yazılmasında təhlükəsizlik standartlarının və yaxşı təcrübələrin tətbiqi.
Kodun yoxlanması — kodun təhlükəsizliyini təmin etmək üçün auditlərin keçirilməsi.
Təhlükəsizlik testləri — tətbiqin zəifliklərini müəyyən etmək və aradan qaldırmaq üçün mütəmadi təhlükəsizlik testlərinin keçirilməsi.
Penetrasiya testləri — hücum edənlərin metodlarına müvafiq simulyasiyalar apararaq zəifliklərin aşkar edilməsi.
Şifrələmə — məlumatların ötürülməsi və saxlanması zamanı müasir şifrələmə metodlarından istifadə edilməsi.
Təhlükəsizlik protokolları — müxtəlif təhlükəsizlik protokollarının (HTTPS, OAuth, JWT) tətbiqi, tətbiqlərin təhlükəsizliyini artırır.
Təhlükəsizlik tədqiqatları — yeni təhlükəsizlik tədqiqatlarının və təhdidlərin izlənməsi, tətbiq sistemlərinin müasir təhdidlərə qarşı mühafizəsi.

İstinadlar

↑ Williams, Jeff. "I Understand SAST and DAST But What is an IAST and Why Does it Matter?". Contrast Security. 2 iyul 2015. 11 aprel 2018 tarixində arxivləşdirilib. İstifadə tarixi: 10 aprel 2018.
↑ Velasco, Roberto. "What is IAST? All About Interactive Application Security Testing". Hdiv Security. 7 may 2020. 10 fevral 2023 tarixində arxivləşdirilib. İstifadə tarixi: 7 may 2020.
↑ Happe, Andreas. "What is AppSec anyways?". snikt.net. 3 iyun 2021. 16 mart 2023 tarixində arxivləşdirilib. İstifadə tarixi: 29 oktyabr 2024.
↑ "Web Application Security Overview". 23 oktyabr 2015. 11 aprel 2018 tarixində arxivləşdirilib. İstifadə tarixi: 29 oktyabr 2024.
↑ Shuaibu, Bala Musa; Norwawi, Norita Md; Selamat, Mohd Hasan; Al-Alwani, Abdulkareem. "Systematic review of web application security development model". Artificial Intelligence Review. 43 (2). 17 yanvar 2013: 259–276. doi:10.1007/s10462-012-9375-6. ISSN 0269-2821.
↑ Abezgauz, Irene. "Introduction to Interactive Application Security Testing". Quotium. 17 fevral 2014. 3 aprel 2018 tarixində orijinalından arxivləşdirilib. İstifadə tarixi: 25 yanvar 2018.
↑ "Web Application Vulnerability Scanners". NIST. 7 dekabr 2022 tarixində arxivləşdirilib. İstifadə tarixi: 29 oktyabr 2024.
↑ "OWASP Top 10 - 2021: The Ten Most Critical Web Application Security Risks". Open Web Application Security Project. 2021. 8 iyun 2023 tarixində arxivləşdirilib. İstifadə tarixi: 11 yanvar 2022.

[1] Williams, Jeff. "I Understand SAST and DAST But What is an IAST and Why Does it Matter?". Contrast Security. 2 iyul 2015. 11 aprel 2018 tarixində arxivləşdirilib. İstifadə tarixi: 10 aprel 2018.

[2] Velasco, Roberto. "What is IAST? All About Interactive Application Security Testing". Hdiv Security. 7 may 2020. 10 fevral 2023 tarixində arxivləşdirilib. İstifadə tarixi: 7 may 2020.

[3] Happe, Andreas. "What is AppSec anyways?". snikt.net. 3 iyun 2021. 16 mart 2023 tarixində arxivləşdirilib. İstifadə tarixi: 29 oktyabr 2024.

[4] "Web Application Security Overview". 23 oktyabr 2015. 11 aprel 2018 tarixində arxivləşdirilib. İstifadə tarixi: 29 oktyabr 2024.

[5] Shuaibu, Bala Musa; Norwawi, Norita Md; Selamat, Mohd Hasan; Al-Alwani, Abdulkareem. "Systematic review of web application security development model". Artificial Intelligence Review. 43 (2). 17 yanvar 2013: 259–276. doi:10.1007/s10462-012-9375-6. ISSN 0269-2821.

[6] Abezgauz, Irene. "Introduction to Interactive Application Security Testing". Quotium. 17 fevral 2014. 3 aprel 2018 tarixində orijinalından arxivləşdirilib. İstifadə tarixi: 25 yanvar 2018.

[7] "Web Application Vulnerability Scanners". NIST. 7 dekabr 2022 tarixində arxivləşdirilib. İstifadə tarixi: 29 oktyabr 2024.

[8] "OWASP Top 10 - 2021: The Ten Most Critical Web Application Security Risks". Open Web Application Security Project. 2021. 8 iyun 2023 tarixində arxivləşdirilib. İstifadə tarixi: 11 yanvar 2022.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]