الاستفادة من الوحدات أو الخدمات المُدققة لمكونات أمان التطبيقات
الوصف
الاستفادة من الوحدات أو الخدمات المُدققة لمكونات أمان التطبيقات مثل إدارة الهوية والتشفير والتدقيق والتسجيل.
قائمة التحقق من التطبيق
توصيات الأدوات
أمان تطبيقات يركز على المطور مع تحليل تكوين البرمجيات وفحص الحاويات وأمان البنية التحتية كرمز واختبار الأمان الثابت المتكامل في خطوط التسليم المستمر
Snyk · اشتراك لكل مطور
مجموعة اختبار أمان التطبيقات مع اختبار الأمان الثابت وتحليل تكوين البرمجيات واختبار الأمان الديناميكي لأمان تطبيقات شامل
Synopsys · اشتراك لكل مطور
منصة سحابية أصلية لأمان التطبيقات مع اختبار الأمان الثابت وتحليل تكوين البرمجيات واختبار الأمان الديناميكي وأمان واجهات برمجة التطبيقات واختبار أمان سلسلة التوريد
Checkmarx · اشتراك لكل مطور
التهديدات والثغرات (CIS RAM)
سيناريوهات التهديد
تنفيذ تشفير مخصص مكسور
السريةينفذ مطور خوارزمية تشفير مخصصة بدلاً من استخدام مكتبة تشفير مفحوصة، ويحتوي التنفيذ على عيوب أساسية تسمح للمهاجمين بفك تشفير البيانات الحساسة.
تجاوز المصادقة في وحدة إدارة هوية مخصصة
السريةيحتوي نظام مصادقة مبني داخلياً على عيوب منطقية تسمح للمهاجمين بتجاوز تسجيل الدخول لأن المطورين بنوه من الصفر بدلاً من الاستفادة من إطار إدارة هوية مفحوص.
العبث بسجل التدقيق بسبب تنفيذ تسجيل مخصص
السلامةيعدل مهاجم سجلات تدقيق مبنية مخصصاً لتغطية آثاره لأن التطبيق يستخدم نظام تسجيل مخصصاً بدون حماية سلامة بدلاً من إطار تسجيل مفحوص ومقاوم للعبث.
الثغرات (عند غياب الإجراء الوقائي)
مكونات أمان مبنية مخصصاً بدلاً من وحدات مفحوصة
المطورون الذين يبنون تنفيذات مخصصة لوظائف حرجة أمنياً مثل التشفير والمصادقة والتسجيل بدلاً من استخدام مكتبات مثبتة أكثر عرضة لإدخال عيوب تنفيذ قابلة للاستغلال.
جودة مكون أمان غير متسقة عبر التطبيقات
بدون التوحيد على وحدات مفحوصة للوظائف الأمنية، ينفذ كل تطبيق هذه القدرات بشكل مختلف، مما يخلق جودة غير متسقة وخصائص أمان غير متوقعة.
متطلبات الأدلة
| النوع | عنصر الدليل | تكرار الجمع |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |