Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Secure Coding Standards

Merab Tato Kutalia
December 30, 2021
Technology
0
120

Secure Coding Standards

What are the guidelines we have to follow in order to bring more security to our apps and users? What is OWASP? What tools can we use to monitor and prevent issues? All these questions will be covered in this talk

Merab Tato Kutalia

December 30, 2021
Tweet

More Decks by Merab Tato Kutalia

See All by Merab Tato Kutalia
What's new in Android 14?
tatocaster
0
110
Migrate to Gradle version catalog and convention plugins
tatocaster
2
1.6k
Make Codebases Secure with OWASP
tatocaster
0
150
ტანგო ანდროიდთან
tatocaster
0
140
Adopting Huawei Mobile Services
tatocaster
0
35
Android UI Testing & Challenges
tatocaster
0
54
Reverse & Inject - droidcon
tatocaster
3
190
mobile DevOps
tatocaster
1
77
Android Reverse Engineering and Analysis - OWASP Tbilisi
tatocaster
1
180

Other Decks in Technology

See All in Technology
[PlatformCon 24] Platform Orchestrators: The Missing Middle of Internal Developer Platforms?
danielbryantuk
1
170
Data and AI Governance: Existing Challenges and Emerging Trends
scotthsieh825
0
150
日本におけるデータエンジニアリングのこれまでとこれから
foursue
10
2.1k
元インフラエンジニアに成る / Human Resources to Human Relations
bobtani
3
760
DevOpsDays History and my DevOps story
kawaguti
PRO
8
1.5k
強みを伸ばすキャリアデザイン
yug1224
0
200
SREとその組織類型
tatsuo48
8
1.5k
Databricks:『生成AI World Cup』のご案内
databricksjapan
2
140
4年前、あるじゃん老害エンジニアLT合戦に登壇、米国西海岸コンピュータ歴史博物館体験記の続編
toshi_atsumi
0
190
コンパウンドスタートアップのためのスケーラブルでセキュアなInfrastructure as Codeパイプラインを考える / Scalable and Secure Infrastructure as Code Pipeline for a Compound Startup
yuyatakeyama
3
2k
長期運用プロジェクトでのMySQLからTiDB移行の検証
colopl
2
630
〜小さく始めて大きく育てる〜データ分析基盤の開発から活用まで
kniino
0
2k

Featured

See All Featured
XXLCSS - How to scale CSS and keep your sanity
sugarenia
240
1.2M
The Invisible Side of Design
smashingmag
294
49k
How GitHub Uses GitHub to Build GitHub
holman
468
290k
Build The Right Thing And Hit Your Dates
maggiecrowley
23
2k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
321
20k
RailsConf 2023
tenderlove
2
530
Rebuilding a faster, lazier Slack
samanthasiow
72
8.2k
Designing with Data
zakiwarfel
95
4.8k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
154
14k
A designer walks into a library…
pauljervisheath
199
23k
Designing the Hi-DPI Web
ddemaree
276
33k
Building Flexible Design Systems
yeseniaperezcruz
318
37k

Transcript

  1. Secure Coding Standards Merab Tato Kutalia Android GDE, Chapter Lead

    @ TBC Bank @TatoKutalia

  2. როგორია უსაფრთხო პროგრამა? • access control-ის მართვა • data protection

    • მოწყვლადობებისგან დაცვა

  3. უსაფრთხო კოდის სტანდარტები

  4. რა არის უსაფრთხო კოდის სტანდარტები? უსაფრთხო კოდის სტანდარტები არის წესებისა

    და მითითებების ნაკრები რომელიც გამოიყენება მოწყვლადობის აღმოსაფხვრელად. ამ სტანდარტების სწორად გამოყენების შემთხვევაში ეფექტურად შეგვიძლია იმ შეცდომების პოვნა, აღმოფხვრა და პრევენცია, რომელსაც შეუძლია ჩვენი პროგრამული უზრუნველყოფის დაზიანება.

  5. რატომ უნდა გვაღელვებდეს? • დაუცველი მომხმარებლის ინფორმაცია • რეპუტაციული ზიანი

    • არასანდო დეველოპმენტ პროცესები

  6. რა ვიღონოთ? • მივყვეთ იმ პროგრამული ენის და პლატფორმის სტანდარტებს

    რასაც გვთავაზობენ • JVM • Android • Apple/iOS

  7. რა ვიღონოთ? • მივყვეთ იმ პროგრამული ენის და პლატფორმის სტანდარტებს

    რასაც გვთავაზობენ • OWASP Top 10 (Mobile) • CVE • CERT • JVM • Android • Apple/iOS

  8. OWASP The Open Web Application Security Project • Tools and

    Resources • Community and Networking • Education & Training

  9. OWASP Top 10 Mobile • M1: Improper Platform Usage •

    M2: Insecure Data Storage • M3: Insecure Communication • M4: Insecure Authentication • M5: Insufficient Cryptography • M6: Insecure Authorization • M7: Client Code Quality • M8: Code Tampering • M9: Reverse Engineering • M10: Extraneous Functionality

  10. OWASP Mobile Security Testing Guide (MSTG) უსაფრთხოების სტანდარტები თანამედროვე მობილური

    აპლიკაციებსთვის. ტექნიკები და ხელსაწყოები. უსაფრთხოების checklist https://owasp.org/www-project-mobile-security-testing-guide/ https://github.com/OWASP/owasp-mstg

  11. OWASP dependency check მხარდაჭერილია ყველა პლატფორმაზე. ამოწმებს 3rd party ბიბლიოთეკებს

    ჩვენს პროექტში საჯარო მონაცემთა ბაზაში, ანიჭებს შესაბამის ქულას და რეპორტის სახით გვთავაზობს. (მათ შორის transitive dependencies) ჩვენი პლატფორმის და სხვა გარემოებებზე დაყრდნობით უნდა გავაანალიზოთ ეს რეპორტი აქვს false-positive-ები*

  12. OWASP dependencyCheck Android

  13. Gradle setup • project and app-level gradle

  14. Advanced setup

  15. CVSS - =Common Vulnerability Scoring System

  16. მადლობა