ആപ്ലിക്കേഷൻ സുരക്ഷ

ആപ്ലിക്കേഷൻ സെക്യൂരിറ്റി (ചുരുക്കരൂപം AppSec) ഡെവലപ്‌മെന്റ് ടീമുകൾക്ക് സുരക്ഷിതമായ സോഫ്റ്റ്‌വെയർ ഡെവലപ്‌മെന്റ് ലൈഫ് സൈക്കിൾ അവതരിപ്പിക്കുന്ന എല്ലാ ജോലികളും ഉൾപ്പെടുന്നു. സുരക്ഷാ സമ്പ്രദായങ്ങൾ മെച്ചപ്പെടുത്തുകയും അതിലൂടെ ആപ്ലിക്കേഷനുകൾക്കുള്ളിലെ സുരക്ഷാ പ്രശ്നങ്ങൾ കണ്ടെത്തുകയും പരിഹരിക്കുകയും തടയുകയും ചെയ്യുക എന്നതാണ് ഇതിന്റെ അന്തിമ ലക്ഷ്യം. ആവശ്യകതകളെക്കുറിച്ചുള്ള വിശകലനം, രൂപകൽപ്പന, നടപ്പിലാക്കൽ, സ്ഥിരീകരണം, അറ്റകുറ്റപ്പണികൾ എന്ന് വേണ്ട മുഴുവൻ ആപ്ലിക്കേഷൻ ലൈഫ് സൈക്കിളും ഇത് ഉൾക്കൊള്ളുന്നു.[1]

സമീപനങ്ങൾ

[തിരുത്തുക]

വ്യത്യസ്‌ത സമീപനങ്ങൾ ഒരു ആപ്ലിക്കേഷനിൽ ഒളിഞ്ഞിരിക്കുന്ന സുരക്ഷാ വൾനറബിലിറ്റികളുടെ വ്യത്യസ്‌ത ഉപസെറ്റുകൾ കണ്ടെത്തുകയും സോഫ്‌റ്റ്‌വെയർ ജീവിതചക്രത്തിലെ വിവിധ സമയങ്ങളിൽ ഏറ്റവും ഫലപ്രദവുമാണ്. അവ ഓരോന്നും സമയം, പ്രയത്നം, ചെലവ്, കണ്ടെത്തിയ വൾനറബിലിറ്റികൾ എന്നിവയുടെ വ്യത്യസ്‌ത ഇടപാടുകളെ പ്രതിനിധീകരിക്കുന്നു.

  • ഡിസൈൻ അവലോകനം--കോഡ് എഴുതുന്നതിന് മുമ്പ്, സുരക്ഷാ പ്രശ്നങ്ങൾക്കായി ആപ്ലിക്കേഷന്റെ ആർക്കിടെക്ചറും ഡിസൈനും അവലോകനം ചെയ്യാവുന്നതാണ്. ഫലപ്രദമായ സൈബർ സുരക്ഷ ഉറപ്പാക്കാൻ അപകടസാധ്യതകളെ തിരിച്ചറിയുന്നതിനും വിലയിരുത്തുന്നതിനും വേണ്ടി ഒരു ത്രെഡ് മോഡൽ വികസിപ്പിച്ചെടുത്തിട്ടുണ്ട്.[2]
  • വൈറ്റ്‌ബോക്‌സ് സുരക്ഷാ അവലോകനം അല്ലെങ്കിൽ കോഡ് അവലോകനം-കമ്പ്യൂട്ടർ സോഫ്റ്റ്‌വെയറിന്റെ ആന്തരിക പ്രവർത്തനങ്ങൾ സൂക്ഷ്മമായി പരിശോധിക്കുന്ന ഒരു സെക്യുരിറ്റി ഡിറ്റക്ടീവ് പോലെയാണ്. സോഴ്‌സ് കോഡ് നോക്കുന്നതിലൂടെ, ഈ വിദഗ്‌ദ്ധന് സോഫ്‌റ്റ്‌വെയറിനു മാത്രമുള്ള പ്രത്യേക സുരക്ഷാ വീഴ്ചകൾ കണ്ടെത്താനും മനസ്സിലാക്കാനും കഴിയും, ഇത് സാധ്യതയുള്ള ആക്രമണങ്ങളിൽ നിന്ന് സുരക്ഷിതമാക്കാൻ സഹായിക്കുന്നു.
  • ബ്ലാക്ക്ബോക്സ് സെക്യുരിറ്റി ഓഡിറ്റ് എന്നത് സുരക്ഷാ പരിശോധന പോലെയാണ്, അവിടെ സോഫ്റ്റ്വെയർ വിദഗ്ധൻ സോഫ്റ്റ്‌വെയറിന്റെ ആന്തരിക പ്രവർത്തനങ്ങൾ കാണുന്നില്ല; പകരം, അവർ ഒരു സാധാരണ ഉപയോക്താവിനെപ്പോലെ അതുമായി ഇടപഴകുന്നു. ഈ ടെസ്റ്റിംഗ് സമീപനം കോഡിലേക്ക് നോക്കാതെ തന്നെ വൾനറബിലിറ്റികൾ കണ്ടെത്താൻ സഹായിക്കുന്നു, ആപ്ലിക്കേഷൻ പുറത്ത് നിന്ന് എങ്ങനെ പ്രവർത്തിക്കുന്നു എന്നതിൽ ശ്രദ്ധ കേന്ദ്രീകരിക്കുന്നു.[3]
  • ഓട്ടോമേറ്റഡ് ടൂളിംഗ്- സോഫ്റ്റ്വയർ വികസനത്തിലോ ടെസ്റ്റിംഗ് പരിതസ്ഥിതിയിലോ ഉൾപ്പെടുത്തുന്നതിലൂടെ പല സുരക്ഷാ ഉപകരണങ്ങളും ഓട്ടോമേറ്റ് ചെയ്യാൻ കഴിയും. കോഡ് എഡിറ്ററിലേക്കോ സിഐ/സിഡി(CI/CD) പ്ലാറ്റ്‌ഫോമുകളിലേക്കോ സംയോജിപ്പിച്ചിരിക്കുന്ന ഓട്ടോമേറ്റഡ് ഡാസ്റ്റ്/സാസ്റ്റ്(DAST/SAST) ടൂളുകളാണ് അവയുടെ ഉദാഹരണങ്ങൾ.
  • കോഓർഡിനേറ്റഡ് വൾനറബിലിറ്റി പ്ലാറ്റ്‌ഫോമുകൾ-നിരവധി വെബ്‌സൈറ്റുകളും സോഫ്റ്റ്‌വെയർ ഡെവലപ്പർമാരും വാഗ്ദാനം ചെയ്യുന്ന ഹാക്കർ-പവർ ആപ്ലിക്കേഷൻ സെക്യൂരിറ്റി സൊല്യൂഷനുകളാണിവ, അതിലൂടെ വ്യക്തികൾക്ക് ബഗുകൾ റിപ്പോർട്ട് ചെയ്യുന്നതിനുള്ള അവകാശവും നഷ്ടപരിഹാരവും ലഭിക്കും.

അവലംബം

[തിരുത്തുക]
  1. Happe, Andreas (3 June 2021). "What is AppSec anyways?". snikt.net.
  2. "Threat Modelling". 20 October 2023.
  3. "Black-Box Penetration Testing in Cybersecurity". 20 October 2023.