OWASP, спустя шесть лет, обновил свой топ-10 требований к проактивной защите, которые необходимо применять на ранних стадиях разработки для достижения максимальной эффективности в создании безопасного программного обеспечения🔝

Требования располагаются в порядке убывания их важности:
🟠Реализовывайте контроль доступа
🟠Применяйте криптографию для защиты данных
🟠Осуществляйте проверку всех входных данных и должным образом обрабатывайте исключения
🟠С самого начала (разработки) уделяйте внимание безопасности
🟠Используйте подход "безопасность по умолчанию"
🟠Обеспечивайте безопасность используемых зависимостей (библиотек и фреймворков)
🟠Внедряйте безопасную цифровую идентификацию
🟠Используйте функции безопасности браузера
🟠Внедряйте журналирование и мониторинг событий безопасности
🟠Пресекайте попытки подделки запросов на стороне сервера (защита от SSRF)

Для каждого требования приводится подробное описание, связь с угрозами и дефектами, от которых эти меры/требования защищают, рекомендации и инструменты для внедрения и валидации.

По сравнению с версией от 2018 года довольно много изменений, правда, не всегда логичных🤔
Советую почитать обзор изменений от Mic Whitehorn.

#owasp #proactive #controls #cwe