1. HABERLER

  2. SEKTÖREL

  3. GÜVENLİ YAZILIM GELİŞTİRME
GÜVENLİ YAZILIM GELİŞTİRME

GÜVENLİ YAZILIM GELİŞTİRME

A+A-

Kaliteli yazılım üretmenin yanında son zamanlarda oldukça önemli olan güvenli yazılım üretmektir. En büyük sebebi ise son yıllarda güvenlik açıklarının artmasıdır. Yazılım güvenlik açıklarının maliyeti süreç ilerledikçe artmaktadır, tasarım aşamasında fark edilip düzeltilen bir güvenlik açığının maliyeti ile kodlama veya test aşamasında fark edilen güvenlik açığının maliyeti aynı olamamaktadır. Güvenlik konusunda incelenmesi gereken dokuz aşama vardır bunlar;

  • Girdi Geçerleme ( Input Validation )

Birçok güvenlik tehdidi bilgi geçerleme yöntemi ile engellenebilmektir. Bu yöntem beyaz kutu ve kara kutu olmak üzere iki çeşittir. Beyaz kutuda biline şablon girdi olarak kullanılmakla birlikte diğer tüm girdiler kötü niyetli olarak kabul edilir ve oldukça etkili bir yöntemdir. Kara kutu ise beyaz kutudan daha fazla tercih edilir fakat daha az etkili bir yöntemdir.

  • Kimlik Doğrulama ( Authentication )

Varlıkların ( mobil uygulama veya kullanıcı )  farklı kimlik doğrulama yöntemleri kullanılarak kontrolden geçmeleridir. Güvenli kimlik doğrulamalar için biometrik metotlar veya akıllı kartlar tercih edilmektedir. Kimlik doğrulamanın üçüncü seçeneği ise üçüncü ve güvenilen kişinin doğrulama yapmasıdır.

yazılım

  • Yetkilendirme ( Authorization )

Kimlik doğrulama işleminin ardından sisteme erişen kullanıcının hangi yetkilerle işlem yapacağını belirlemek için kullanılır.

  • Yapılandırma Yönetimi  ( Configuration Management )

Konfigürasyon bilgileri hassas bilgileri hassas bilgiler olduğundan şifreleme yöntemi ile korunması gerekmektedir.

  •  Hassas Bilgi ( Sensitive Information )

Uygulama ve iş bir arada yürütülerek hassa bilginin ne olduğu öğrenilmelidir. Bu iki unsur bir arada yürütülerek hassas bilgilerin bulunduğu bir liste oluşturulmalı ve bu listeyi koruyacak bir politika hazırlanmalıdır.

  • Kriptografi ( Cryptograhy )

Günümüzde şifreleme çalışmalarının ilerlemesi ile birlikte bilgisayar saldırıları artmaktadır. Kırılması uzun süren algoritmalara aldanmayarak hassas bilgilerin bilindik şifreleme yöntemi ile saklanması gerekmedir çünkü kırılması uzun süren ve zor görünen şifrelemeler kısa sürede çözülebilmektedir. Bazı zamanlarda güvenliklerini sağlamak için güncelleme yapılıp kontrolleri sağlanmalıdır.

  •  Parametre Manipülasyonu ( Parameter Manipulations )

Dağınık algoritmalar arasında gönderilen parametreler değiştirilirse saldırı gerçekleşmiş olur.

  •  Hata Yönetimi ( Exception Management )

Sistem yöneticileri ve uygulama ile ilgili bilgiler içerdiğinden hata yöneticilerin önemi oldukça fazladır. Kimi zaman bu bilgiler kullanıcı ne olduğunu anlamadığı için problem oluşturabilmektedir. Problem oluştuktan sonra yöneticilerin ulaşmasını sağlayacak süreç oluşturulması gerekir.

  • Kayıt Tutma ve Denetim ( Logging and Auditing )

İster mobil yazılım olsun ister bilgisayar yazılımları yöneticilerin saldırı olduğunu anlamaları oldukça önemlidir. Normal ilerleyişin haricinde gerçekleşen tüm durumlar saldırı ihtimali olarak ele alınmalıdır.

Bu haber toplam 540 defa okunmuştur

HABERE YORUM KAT