Сообщения

OWASP API Security Top 10

 Н едавно OWASP опубликовали новую версию   Top 10 API Security Risks . Кроме этого сообщество OWASP было известно рейтингами Top 10 web уязвимостей, Top 10 уязвимостей kubernetes и  Top 10 CI/CD Security Risks   и другими полезными Top 10 по безопасности. API-интерфейсы являются важной частью современных мобильных, облачных, микросервисных, одностраничных и веб-приложениях. По своей природе API-интерфейсы раскрывают логику приложения и конфиденциальные данные, и из-за этого API-интерфейсы все чаще становятся целью для злоумышленников. Без безопасных API быстрые инновации были бы невозможны. Поэтому в 2019 г. в целях повышения осведомленности был определен перечень наиболее опасных угроз безопасности, связанных с API. Сейчас же в 2023-его году Top 10 API Security Risk был существенно обновлен. Новые тренды: Авторизация  остается самой большой проблемой в безопасности API. Три пункта из первой пяти связаны с авторизацией и управлением доступом. Современные приложения на основе API стано

Secure Supply Chain Consumption Framework (S2C2F)

Изображение
В ноябре Microsoft разработали и опубликовали интересный фреймфорк (набор практик) безопасности опенсорсного ПО в составе корпоративных продуктов - Open Source Software (OSS) Secure Supply Chain (SSC) Framework. Чуть позже они передали этот фреймворк сообществу Open Source Security Foundation, где он был опубликован уже под именем Secure Supply Chain Consumption Framework (S2C2F). Давайте посмотрим подробнее что там было интересного. 1. Во первых дается перечень актуальных угроз, связанных с использованием опенсорсных библиотек в продуктах, с примерами инцидентов и практик безопасности, которые помогут закрыть аналогичную проблему в вашем проекте Эта информация будет очень полезной при корректировки модели угроз для отдельного продукта - если вы знаете какие угрозы наиболее актуальны именно для вас, можно обратить свое внимание именно на соответствующие им практики защиты. Threats Real examples Mitigation via OSS SSC Framework Framework requirement reference Accidental vulnerabilities