blog suryamalam

Setelah Anda menyelesaikan penilaian keamanan sebagai bagian dari pengembangan aplikasi web Anda, saatnya untuk pergi ke jalan dari remediating semua masalah keamanan Anda terbongkar. Pada titik ini, pengembang Anda, jaminan kualitas penguji, auditor, dan manajer keamanan Anda semua harus bekerja sama erat untuk menggabungkan keamanan ke dalam proses saat ini siklus hidup pengembangan perangkat lunak Anda untuk menghilangkan kerentanan aplikasi. Dan dengan laporan penilaian keamanan aplikasi Web Anda di tangan, Anda mungkin sekarang memiliki daftar panjang masalah keamanan yang perlu ditangani: rendah, sedang, dan kerentanan aplikasi tinggi; kejanggalan konfigurasi; dan kasus-kasus di mana kesalahan logika bisnis membuat resiko keamanan. Untuk gambaran rinci tentang bagaimana melakukan penilaian keamanan aplikasi Web, lihatlah artikel pertama dalam seri ini, Aplikasi Web Vulnerability Assessment: Langkah Pertama Anda untuk Situs Web Sangat aman .

Tahap pertama dari proses remediasi dalam pengembangan aplikasi web yang mengkategorikan dan memprioritaskan segala sesuatu yang perlu diperbaiki dalam aplikasi Anda, atau situs Web. Dari tingkat tinggi, ada dua kelas dari kerentanan aplikasi: kesalahan pembangunan dan kesalahan konfigurasi. Seperti namanya, kerentanan pengembangan aplikasi web adalah mereka yang muncul melalui konseptualisasi dan coding aplikasi. Ini adalah masalah yang berada dalam kode aktual, atau alur kerja aplikasi, yang pengembang harus alamat. Seringkali, tetapi tidak selalu, jenis kesalahan dapat mengambil lebih banyak pemikiran, waktu, dan sumber daya untuk memperbaiki. kesalahan konfigurasi adalah mereka yang memerlukan pengaturan sistem harus diubah, jasa yang akan mematikan, dan sebagainya. Tergantung pada bagaimana organisasi Anda terstruktur, kerentanan aplikasi ini mungkin atau mungkin tidak ditangani oleh pengembang Anda. Sering kali mereka dapat ditangani oleh aplikasi atau infrastruktur manajer. Dalam hal apapun, kesalahan konfigurasi dapat, dalam banyak kasus, diatur lurus cepat.

Pada titik ini dalam pengembangan aplikasi web dan proses remediasi, saatnya untuk memprioritaskan semua kerentanan teknis dan bisnis-logika ditemukan dalam penilaian. Dalam proses sederhana ini, Anda pertama daftar kerentanan aplikasi yang paling penting Anda dengan potensi tertinggi dampak negatif pada sistem yang paling penting untuk organisasi Anda, dan kemudian daftar kerentanan aplikasi lainnya dalam urutan berdasarkan risiko dan dampak bisnis.

Meskipun Anda memiliki kontrol penuh atas mengakses aplikasi web kustom Anda selama pengembangan aplikasi web, tidak semua kerentanan aplikasi dapat diperbaiki cukup cepat untuk memenuhi tenggat waktu penyebaran bergerak. Dan menemukan kerentanan yang dapat mengambil minggu untuk memperbaiki dalam aplikasi sudah di produksi adalah saraf-wracking. Dalam situasi seperti ini, Anda tidak akan selalu memiliki kontrol atas mengurangi risiko keamanan aplikasi Web Anda. Hal ini terutama berlaku untuk aplikasi Anda membeli; akan ada aplikasi kerentanan yang pergi unpatched oleh vendor untuk waktu yang lama. Daripada beroperasi pada tingkat resiko yang tinggi, kami menyarankan Anda mempertimbangkan cara lain untuk mengurangi risiko Anda. 

Ini dapat termasuk memisahkan aplikasi dari daerah lain jaringan, membatasi akses sebanyak mungkin untuk aplikasi yang terkena, atau mengubah konfigurasi aplikasi, jika memungkinkan. Idenya adalah untuk melihat aplikasi dan arsitektur sistem anda untuk cara lain untuk mengurangi risiko sementara Anda menunggu perbaikan. Anda bahkan mungkin mempertimbangkan memasang firewall aplikasi web (firewall khusus dibuat dirancang untuk mengamankan aplikasi web dan menegakkan kebijakan keamanan mereka) yang dapat memberikan Anda sebuah solusi sementara yang wajar. Meskipun Anda tidak bisa mengandalkan firewall tersebut untuk mengurangi semua risiko Anda tanpa batas, mereka dapat memberikan perisai yang memadai untuk membeli waktu Anda sementara tim pengembangan aplikasi web menciptakan memperbaiki.

Seperti yang Anda lihat, menanggulangi kerentanan aplikasi web selama pengembangan siklus hidup aplikasi web membutuhkan kolaborasi antara pengembang, penguji QA, manajer keamanan, dan tim aplikasi. proses yang terkait bisa melelahkan, tetapi kenyataannya adalah bahwa dengan menerapkan proses ini, Anda akan dikenakan biaya-efektif mengurangi risiko serangan aplikasi-tingkat. pengembangan aplikasi web yang kompleks, dan pendekatan ini lebih murah daripada rekayasa ulang aplikasi dan sistem yang terkait setelah mereka dikerahkan ke dalam produksi.