«veb dasturlar xavfsizligi»
Yechim qabul qilish uchun asos
Izoh
| Yechim qabul qilish uchun asos
| (anomal -sodir bo’lish ehtimolligi nuqtayi nazaridan) Statistika | Siyosat(ishlab chiquvchining bilimi yoki xohishi,qoidalar asosida) |
| Ishlab chiquchining niyatlari asosida |
Xavfsizlik texnologiyasiqaysi sinfga tegishliligini aniqlash uchun ikkita xususiyat to'plami talab qilinadi. Masalan, B-1 boshqaruvchi himoyani bildiradi
Boshqariladigan kiruvchidastur ma'lumotlari va xavfsizlik foydalanuvchisi tomonidan belgilanadigan siyosatga asoslangan qarorlar qabul qilish (an'anaviy Xavfsizlik texnologiyasi qaysi sinfga tegishli ekanligini aniqlash qoidalarga asoslangan yondashuvlar).Birmuncha murakkab misol bo'lishi mumkin A-1/3 yoki A-3, odatda qora quti anomaliyalarini aniqlaydi.
Xavfsiz veb-ilovalar dizayni ba'zi taksonomiyalarga kiritilgan alohida toifa sifatida himoya qilish, bunday qurilish texnologiyalari, aniq aytganda,ular xavfsizlik uchun emas, balki umumiy tezkor rivojlantirish amaliyotlaridir va xavfsizlikka yo'naltirilgan ,shuning uchun tavsiya etilganlar tasnifga kiritilmagan.
Ushbu xavfsizlikka yo'naltirilgan rivojlanish maxsus ramkalar, uchinchi tomon API-lari yoki hatto maxsus dasturlash tillari yordamida.takomillashishni o'z ichiga olishi mumkin
[4] da veb-resurslarni ishlab chiqish uchun yangi va takomillashtirilgan amaliyotni taklif qilingan.
Takommilashgan ishlab chiqish amaliyoti xatosiz (yoki hech bo'lmaganda xatolarni imkon qadar kamaytirish) ilovalarni yaratishga qaratilgan, veb-ilovalar uchun qo'llaniladigan bunday yangi amaliyotlar buni amalga oshiradi.
Biroq, ishlaydigan eski veb-ilova va yangisiga yuqori narxni hisobga olgan holda
mavjud o'rniga yangisini ishlab chiqish tanlovi, odatda veb-ilovaga qaratilgan eskirgan himoya foydasiga amalga oshiriladi.
Agar eski dasturni ishlab chiquvchi bo'lmasa, mumkin bo'lgan murakkablik paydo bo'lishi mumkin.mavjud emas, bu esa ilovalarnining keyingi xizmatida qiyinchiliklarga olib keladi.Ushbu muammoni hal qilish uchun siz mavjud manba kodidan arxitekturaning turli tomonlarini avtomatik ravishda ajratib olish uchun turli xil vositalardan foydalanishingiz mumkin.Garchi bunday vositalar dastur xavfsizligiga bevosita ta'sir qilmasa ham, olingan natijalar maxsus ilovalar uchun moslashtirilgan himoya vositalarini ishlab chiqish uchun foydali bo'lishi mumkin.Garchi ba'zi xavfsizlik yondashuvlari umumiy jihatdan juda mos bo'lsa-da, umuman olganda, himoya qo’llanadigan dasturlash tiliga bog'liq va asosan PHP ASP yoki Java.kabi eng mashhur tillarga qaratilgan.Hamma narsa tilga bog'liq bo'lmasada, ba'zi bir hil bo'lmagan muhitlarda yondashuvlar tillararo yoki komponentlararo o'zaro ta'sir tahliliga ham e'tibor qaratishi mumkin.Xavfsizlik sinovi va zaifliklarni skanerlash usullari Rivojlanish amaliyotlari va meros himoyalari o'rtasida topilgan, chunki bunday usullar odatda ilovalarni sinab ko'radi yoki skanerlaydi, lekin hali ham aniqlangan zaifliklarni tuzatish uchun dastur kodini o'zgartirishni talab qiladi.Ba'zi hollarda avtomatik tuzatish imkoni bo'lsa ham, xavfsizlik tekshiruvlari va zaifliklarni skanerlashda odatda qaror qabul qilish komponentiga ega emas va qaror uchun javobgarlikni dastur ishlab chiqaruvchisiga yuklaydi.Shunday qilib, oq quti yoki qora quti yondashuvi qo'llanilishiga qarab, bunday usullar 2 yoki 1/3 sinfga kiradi.
Quyidagi bo'limlarda tavsiya etilgan tasnifning texnik jihatlari batafsil ko'rib chiqiladi.
Download 138.13 Kb.
Do'stlaringiz bilan baham:
