چرا AppSec برای جعبه ابزار توسعه شما مهم است

به این پادکست در iTunes ، Spotify یا هر کجا محتوای صوتی مورد علاقه خود را پیدا کنید گوش دهید.

در این نسخه از پادکست فراتر از محیط ، ما در مورد نقض داده های Poshmark و مصاحبه با Avi Douglen از Bounce Security در مورد خطرات امنیتی برنامه.

نقض ماه: Poshmark

در 1 آگوست ، بازار پوشاک Poshmark تایید کرد که آنها نقض داده ها را تجربه کرده اند. گفته می شود که Poshmark حدود 50 میلیون کاربر دارد.

داده های غارت شده شامل نام کامل مشتریان ، جنسیت ، شهرها ، آدرس های ایمیل ، پروفایل های شبکه های اجتماعی مرتبط و رمزهای عبور حساب – اما به صورت رمزگذاری شده هش شده است.

به دلیل نقض ، این شرکت به مشتریان خود می گوید كه مراقب ایمیلهای فیشینگ باشند ، مخصوصاً آنهایی كه به نظر می رسد از طرف Poshmark وارد می شوند.

در پست وبلاگ توسط Poshmark ، ] آنها با عبارت زیر به کاربران خود هشدار دادند ، "توجه داشته باشید که Poshmark اطلاعات شخصی مانند اطلاعات ورود به سیستم یا رمز ورود شما را در ارتباطات ایمیل درخواست نمی کند. اگر ایمیلی که دریافت کرده اید این اطلاعات را از شما می خواهد ، ایمیل توسط Poshmark ارسال نشده است و ممکن است تلاشی برای سرقت اطلاعات شخصی شما باشد. "

در این قسمت ، من با آوی دوگلن صحبت کردم تا درباره تجربه خود در زمینه کاربرد بیشتر بدانم امنیت و اینکه چرا مشاغل باید به دنبال اتخاذ یک برنامه امنیتی در داخل باشند.

مسیر شغلی رایج نیست

هیچ مسیر واقعی برای حرفه ای در امنیت سایبری وجود ندارد. برخی از افراد از سنین جوانی آرزو می کنند که در امنیت کار کنند و برخی نیز در سفر یاد می گیرند. در مورد داگلن ، او در زمان مناسب در مکان مناسب بود: "من در واقع به نوعی به آن افتادم. من کار خود را با توسعه نرم افزار محصولی که روی آن کار می کردم شروع کردم و امنیت همیشه کمی گنگ به نظر می رسید. اما هر چه ، شما می دانید. من یک برنامه نویس جدید هستم من از آن چه می دانم؟ اما پس از آن من استخدام شدم تا در پلیس اسرائیل به عنوان توسعه دهنده نرم افزار امنیتی ، زیرساخت های امنیتی برای همه سیستم های بسیار حساس کار کنم ، همانطور که مطمئن هستم تصور می کنید. البته در حالی که من آنجا بودم ، ما در حال تولید محصولات امنیتی هستیم. بنابراین من قبل از این که حتی یک مسئله باشد ، بخشی از مدیریت هویت ، کنترل مجوزها و کنترل دسترسی بودم.

مانند بسیاری از متخصصان امنیتی ، داگلین تجربه امنیتی خود را در حال حرکت به دست آورد. وی گفت: "من در واقع از آزمایش چیزهایی آموختم زیرا این مسئله قبل از محبوبیت امنیت برمی گشت. چیزهای زیادی وجود داشت و به نظر می رسید که OWASP به سختی شروع به کار می کند و دوباره به سال 2001 بازمی گردد. من با ادامه کار همه جنبه های امنیتی را کشف کردم و نوع نیازهای حوزه و توسعه دهندگان که نیازهای خاص خود را داشتند اما ما نمی دانیم که چگونه با اینها کنار بیاییم. "

با به دست آوردن این تجربه به مرور ، داگلین را به سمت حرفه ای در امنیت برنامه سوق داد. "من در یک شرکت مشاوره امنیتی استخدام شدم و از طرف توسعه دهنده اطلاعات زیادی در مورد الزامات امنیتی کسب کردم. بنابراین ، از آنجا ، من به نوعی خانه خود را پیدا کردم تا بتوانم در مورد امنیت برنامه و امنیت نرم افزار صحبت کنم. "

Security Application یک مسئولیت مشترک است

هنگامی که از داگلین می پرسید نظرات او درباره کسانی که مسئولیت اجرای امنیت برنامه دارند چیست؟ ، وی اظهار داشت که پاسخ دادن به آن مسئله سختی است. "این س reallyال واقعاً جالبی است و من آن را عقب می فشارم و می گویم ، خوب ، چه کسی مسئول کیفیت نرم افزار است؟ خوب ، مطمئناً این سازمان است و مطمئناً شما انتظار دارید كه یك سازنده مسئول كیفیت كدی باشد كه ارائه می دهد ، درست است؟ بدیهی است اگر شما نمی دانید چگونه کد بنویسید ، کسی را برای نوشتن کد استخدام نمی کنید. اما سازمان کاملاً باید از آن حمایت کند. برای امنیت برنامه باید وقت و ابزار مناسبی داشته باشید. شما باید آموزش و فرآیند ، روش شناسی داشته باشید و باید واقعاً درمان شود – از دیدگاه من ، باید دقیقاً مانند کیفیت نرم افزار رفتار شود و این یکی از جنبه های کیفیت است. اگر امنیت هم نداشته باشید ، نمی توانید یک برنامه نویس عالی باشید. این واقعاً به چگونگی تولید نرم افزار برمی گردد. "

داگلین معتقد است که فقط مربوط به توسعه دهندگان نیست که در واقع کد را می نویسند. "من فکر نمی کنم که همه چیز باید در سمت توسعه دهنده باشد ، به هیچ وجه. اما قطعاً باید بخشی از آن باشد. به طور حتم سازمان هایی وجود دارند و توسعه دهندگانی وجود دارند که سعی می کنند هرچه سریعتر کد را بیرون بریزند و برای اشکالات یا قبولی در آزمون ها و حتی اگر واقعا کار می کند ، اهمیتی نمی دهند. می دانید ، اگر روی دستگاه من کامپایل شود ، من آن را به GitHub هل می دهم ، درست است؟ از طرف دیگر ، بدیهی است که ما نمی توانیم از طرف توسعه دهنده مقصر باشیم ، زیرا همه امنیت نرم افزارها با کد نیستند و من واقعاً فکر می کنم که امنیت فقط باید یکی از جنبه های دیگر همه کارها باشد. بنابراین افراد DevOps در حال انجام DevOps هستند و امنیت باید بخشی از آن باشد. خط لوله آنها باید ایمن باشد و اگر آنها آزمایش واحد و مواردی از این قبیل را انجام می دهند ، بدیهی است که باید آزمایش واحد امنیتی را انجام دهند. "

هنوز هم سازمان ها با AppSec

فرصت برای رشد دارند وقتی که از آنها خواسته می شود سازمان ها از تجهیزات بیشتری برخوردار هستند امنیت برنامه ، داگلین اظهار داشت که این به سازمان بستگی دارد. "دو نوع سازمان کاملا متفاوت وجود دارد و شما واقعاً نمی توانید آنها را با هم مرتبط کنید. برخی از سازمانهای بالغ تر ، مسئولیت پذیرتر و دارای امنیت خاطر بیشتر همانطور که انتظار دارید در سراسر نمودار توزیع می کنند و برخی از آنها در اوایل سفر خود هستند و برخی از آنها برنامه کامل ندارند و برخی از آنها انجام می دهند ، برخی از آنها از آنها تکامل یافته تر هستند. از طرف دیگر ، بعضی از آنها که انتظار می رود تکامل بیشتری داشته باشند و یک برنامه کامل داشته باشند لزوماً این کار را نمی کنند و هرگز این کار را نمی کنند و حتی اگر سعی کنید آن را به درون آنها فشار دهید ، موفق نخواهد شد و میراث بسیار سنگین دهه ، میراث کد ، میراث روند ، میراث مردم گاهی اوقات ، که شما – که هرگز تغییر نخواهد کرد. بنابراین ، با توجه به سوال شما ، می توانم بگویم که این یک سوال سخت است ، زیرا من فکر می کنم اکثر شرکت ها در آنجایی که باید باشند نیستند. داگلین اهمیت ابزارهای امنیتی منبع باز را به عنوان چیزی که توسعه دهندگان در سازمان ها می توانند در جعبه ابزار امنیتی برنامه کاربردی خود شروع به کار کنند ، برجسته کرد. "برخی از محصولات تجزیه و تحلیل استاتیک عالی به نام SAST وجود دارد ، آزمایش امنیت برنامه کاربردی استاتیک ، که در واقع یک روش خودکار برای اسکن کد شما است و اینها عالی هستند و شما ابزارهایی دارید که وابستگی ها و اجزای شما را کنترل می کند. م componentsلفه های منبع باز می توانند در یکی از نسخه های م componentsلفه هایی که استفاده می کنید ، آسیب پذیری شناخته شده داشته باشند و معمولاً اکثر محصولات دارای ده ها وابستگی هستند ، حداقل وابستگی های خارجی حداقل در یک برنامه بی اهمیت. گاهی اوقات می تواند به راحتی صدها یا بیشتر باشد. بنابراین چندین ابزار عالی وجود دارد. من فقط دیدم که یکی از فروشندگان با یک افزونه منبع باز برای یک کد استودیوی تصویری روبرو شده است که به صورت کد نظارت می کند و به شما خواهد گفت که این کتابخانه در واقع دارای آسیب پذیری است. شما باید کتابخانه دیگری را به روز کنید یا از آن استفاده کنید. "

مدافع عظیم پروژه های OWASP

داگلین در جامعه OWASP بسیار فعال است و در اوقات فراغت خود ، او در پروژه OWASP خود شرکت می کند. و وقتی از او سوال می شود که کدام پروژه ها را برای شنیدن لیست به شنوندگان توصیه می کند. "تعدادی پروژه عالی وجود دارد. من بخشی از یک پروژه فرعی هستم که یک کتاب تهویه مدل سازی تهدید است ، و شروع به ارائه مجموعه ای از "دستور العمل ها" می کند ، مانند الگوی تهدید. بنابراین اگر یک دسته از ریز خدمات Docker قرار دهید. سپس یک سری تهدیدات وجود دارد که شما باید آنها را در نظر بگیرید و از آنها مراقبت کنید و نیازی به صرف دو روز تهدید تهدید برای مدل سازی این زیرساخت نیستید و مجموعه ای از تخفیف های استاندارد استاندارد را دارید که می توانید بدون مشورت با کارشناس امنیت از آنها استفاده کنید. . بنابراین همه این موارد – در اینجاست که ما سعی می کنیم آن را ایجاد کنیم و آن را عملی کنیم. "

OWASP تعداد بی شماری پروژه به صورت رایگان برای توسعه دهندگان و کارشناسان امنیتی دارد. وقتی سوال شد که داگلین به شنوندگان توصیه می کند که کدام یک از پروژه ها را بررسی کنند ، لیست ادامه دارد. "بسته به اینکه از کجا آمده اید ، بسیاری از پروژه های عالی وجود دارد. ابتدا با OWASP ZAP تماس خواهم گرفت. این یک پروکسی تعاملی است که کارهای بسیار بیشتری از آن انجام می دهد. نه تنها هر گونه درخواست ارسال شده بین مرورگر شما و سرور را کنترل و رهگیری می کند. این توابع حمله پویا زیادی دارد. بنابراین نوعی برنامه وب شما را هنگام آزمایش آزمایش می کند و از یک API عالی پشتیبانی می کند. بنابراین شما می توانید این را ادغام کنید و من بسیاری از تیم های QA و تیم های DevOps را می شناسم که این موارد را در آزمایش های خودکار ادغام کرده اند و بله ، شما قطعاً می توانید سرمایه گذاری کنید و یک محصول تجاری عالی ، اسکنرهای وب دریافت کنید. اما این بهتر از برخی دیگر از محصولات موجود است و ZAP API بسیار عالی است. "

داگلین همچنین توصیه کرد که چگونه نوبس می تواند با پروژه های OWASP شروع به کار کند. “به OWASP.org بروید ، روی پروژه ها کلیک کنید. شما یک کتابخانه کامل از پروژه ها را در آنجا دریافت می کنید. پروژه دیگری که من به خصوص برای افرادی که شروع به کشف این زمینه امنیت برنامه می کنند ، واقعاً دوست دارم ، همان چیزی است که فروشگاه آب میوه OWASP نامیده می شود و من می گویم بهترین مکان برای خرید آب میوه بصورت آنلاین است. در اصل خرید آب میوه یک وب شاپ مدرن است با این تفاوت که در واقع هرگز آب میوه تهیه نمی کنید. آنچه شما می گیرید مجموعه ای از آسیب پذیری های داخلی است که برای برنامه های مدرن معمول است. بنابراین برای ورزش ، یادگیری و تمرین آسیب پذیری های مختلف و کشف نحوه کار تزریق SQL و نحوه نوشتن اسکریپت بین سایت بسیار عالی است. آثار و ده ها مورد دیگر. این یکی از بهترین برنامه های پرچم دار موجود است. "

برای شنیدن کل مصاحبه با Avi لطفاً پادکست کامل را در اینجا گوش دهید. می توانید Avi را در توییتر sec_tigger دنبال کنید. برای ثبت نام در OWASP Appsec Israel از https://appsecil.org/cepts19659035 برگزیده بازدید کنید اگر از شنیدن لذت بردید ، مشترک شدن را فراموش نکنید تا هرگز قسمت جدیدی را از دست ندهید لطفاً به پادکست امتیاز دهید یا نظرات خود را در مورد iTunes یا هر کجا که گوش می دهید بگذارید.