Sikkerhetspraksiser

Kort oppsummert

Det er mye å tenke på dersom en skal bygge en sikker løsning, og et viktig utgangspunkt er OWASP Top 10.

Det finnes mange ulike typer sårbarheter og svakheter vi må forholde oss til når vi utvikler nye applikasjoner. Organisasjonen Open Worldwide Application Security Project har siden 2004 gitt ut en liste med de 10 mest vanlige typer sårbarheter, primært rettet mot webapplikasjoner. Selv om denne ikke inneholder alt, brukes den ofte som et utgangspunkt for sårbarheter som må håndteres i utviklingsprosjekter.

Gjeldende punkter på OWASP Top 10:

1. Broken Access Control
2. Cryptographic Failures
3. Injection
4. Insecure Design
5. Security Misconfiguration
6. Vulnerable and Outdated Components
7. Identification and Authentication Failures
8. Software and Data Integrity Failures
9. Security Logging and Monitoring Failures
10. Server-Side Request Forgery

Dersom teamet ikke har noen prosesser rundt sikker utvikling, vil dette være en god start. For team med større modenhet innenfor applikasjonssikkerhet vil andre sjekklister, som Application Security Verification Standard - også fra OWASP være et videre alternativ. Denne er delt opp i tre ulike nivå, der nivå 1 dekker hovedpunktene, mens level 3 går mye mer i dybden og krever mer kompetanse og støtteverktøy.

OWASP publiserer mye annet i tillegg, både andre Top 10-lister i tillegg til det de kaller "Cheatsheets"; detaljert informasjon om spesifikke sikkerhetsrelaterte tema.

Veien videre

• OWASP Top 10 (2021)
• OWASP Application Security Verification Standard
• The 18 CIS Critical Security Controls
• CISA - Secure by design
• OWASP: Cheatsheets