Tweet
Tweet

Slide 1

Slide 1 text

Secure Coding Standards Merab Tato Kutalia Android GDE, Chapter Lead @ TBC Bank @TatoKutalia

Slide 2

Slide 2 text

როგორია უსაფრთხო პროგრამა? ● access control-ის მართვა ● data protection ● მოწყვლადობებისგან დაცვა

Slide 3

Slide 3 text

უსაფრთხო კოდის სტანდარტები

Slide 4

Slide 4 text

რა არის უსაფრთხო კოდის სტანდარტები? უსაფრთხო კოდის სტანდარტები არის წესებისა და მითითებების ნაკრები რომელიც გამოიყენება მოწყვლადობის აღმოსაფხვრელად. ამ სტანდარტების სწორად გამოყენების შემთხვევაში ეფექტურად შეგვიძლია იმ შეცდომების პოვნა, აღმოფხვრა და პრევენცია, რომელსაც შეუძლია ჩვენი პროგრამული უზრუნველყოფის დაზიანება.

Slide 5

Slide 5 text

რატომ უნდა გვაღელვებდეს? ● დაუცველი მომხმარებლის ინფორმაცია ● რეპუტაციული ზიანი ● არასანდო დეველოპმენტ პროცესები

Slide 6

Slide 6 text

რა ვიღონოთ? ● მივყვეთ იმ პროგრამული ენის და პლატფორმის სტანდარტებს რასაც გვთავაზობენ ● JVM ● Android ● Apple/iOS

Slide 7

Slide 7 text

რა ვიღონოთ? ● მივყვეთ იმ პროგრამული ენის და პლატფორმის სტანდარტებს რასაც გვთავაზობენ ● OWASP Top 10 (Mobile) ● CVE ● CERT ● JVM ● Android ● Apple/iOS

Slide 8

Slide 8 text

OWASP The Open Web Application Security Project ● Tools and Resources ● Community and Networking ● Education & Training

Slide 9

Slide 9 text

OWASP Top 10 Mobile ● M1: Improper Platform Usage ● M2: Insecure Data Storage ● M3: Insecure Communication ● M4: Insecure Authentication ● M5: Insufficient Cryptography ● M6: Insecure Authorization ● M7: Client Code Quality ● M8: Code Tampering ● M9: Reverse Engineering ● M10: Extraneous Functionality

Slide 10

Slide 10 text

OWASP Mobile Security Testing Guide (MSTG) უსაფრთხოების სტანდარტები თანამედროვე მობილური აპლიკაციებსთვის. ტექნიკები და ხელსაწყოები. უსაფრთხოების checklist https://owasp.org/www-project-mobile-security-testing-guide/ https://github.com/OWASP/owasp-mstg

Slide 11

Slide 11 text

OWASP dependency check მხარდაჭერილია ყველა პლატფორმაზე. ამოწმებს 3rd party ბიბლიოთეკებს ჩვენს პროექტში საჯარო მონაცემთა ბაზაში, ანიჭებს შესაბამის ქულას და რეპორტის სახით გვთავაზობს. (მათ შორის transitive dependencies) ჩვენი პლატფორმის და სხვა გარემოებებზე დაყრდნობით უნდა გავაანალიზოთ ეს რეპორტი აქვს false-positive-ები*

Slide 12

Slide 12 text

OWASP dependencyCheck Android

Slide 13

Slide 13 text

Gradle setup ● project and app-level gradle

Slide 14

Slide 14 text

Advanced setup

Slide 15

Slide 15 text

CVSS - =Common Vulnerability Scoring System

Slide 16

Slide 16 text

მადლობა