Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Secure Coding Standards

Secure Coding Standards

What are the guidelines we have to follow in order to bring more security to our apps and users? What is OWASP? What tools can we use to monitor and prevent issues? All these questions will be covered in this talk

45c9a9c3c539129f03e4fd07e3aa4ccb?s=128

Merab Tato Kutalia

December 30, 2021
Tweet

More Decks by Merab Tato Kutalia

Other Decks in Technology

Transcript

  1. Secure Coding Standards Merab Tato Kutalia Android GDE, Chapter Lead

    @ TBC Bank @TatoKutalia
  2. როგორია უსაფრთხო პროგრამა? • access control-ის მართვა • data protection

    • მოწყვლადობებისგან დაცვა
  3. უსაფრთხო კოდის სტანდარტები

  4. რა არის უსაფრთხო კოდის სტანდარტები? უსაფრთხო კოდის სტანდარტები არის წესებისა

    და მითითებების ნაკრები რომელიც გამოიყენება მოწყვლადობის აღმოსაფხვრელად. ამ სტანდარტების სწორად გამოყენების შემთხვევაში ეფექტურად შეგვიძლია იმ შეცდომების პოვნა, აღმოფხვრა და პრევენცია, რომელსაც შეუძლია ჩვენი პროგრამული უზრუნველყოფის დაზიანება.
  5. რატომ უნდა გვაღელვებდეს? • დაუცველი მომხმარებლის ინფორმაცია • რეპუტაციული ზიანი

    • არასანდო დეველოპმენტ პროცესები
  6. რა ვიღონოთ? • მივყვეთ იმ პროგრამული ენის და პლატფორმის სტანდარტებს

    რასაც გვთავაზობენ • JVM • Android • Apple/iOS
  7. რა ვიღონოთ? • მივყვეთ იმ პროგრამული ენის და პლატფორმის სტანდარტებს

    რასაც გვთავაზობენ • OWASP Top 10 (Mobile) • CVE • CERT • JVM • Android • Apple/iOS
  8. OWASP The Open Web Application Security Project • Tools and

    Resources • Community and Networking • Education & Training
  9. OWASP Top 10 Mobile • M1: Improper Platform Usage •

    M2: Insecure Data Storage • M3: Insecure Communication • M4: Insecure Authentication • M5: Insufficient Cryptography • M6: Insecure Authorization • M7: Client Code Quality • M8: Code Tampering • M9: Reverse Engineering • M10: Extraneous Functionality
  10. OWASP Mobile Security Testing Guide (MSTG) უსაფრთხოების სტანდარტები თანამედროვე მობილური

    აპლიკაციებსთვის. ტექნიკები და ხელსაწყოები. უსაფრთხოების checklist https://owasp.org/www-project-mobile-security-testing-guide/ https://github.com/OWASP/owasp-mstg
  11. OWASP dependency check მხარდაჭერილია ყველა პლატფორმაზე. ამოწმებს 3rd party ბიბლიოთეკებს

    ჩვენს პროექტში საჯარო მონაცემთა ბაზაში, ანიჭებს შესაბამის ქულას და რეპორტის სახით გვთავაზობს. (მათ შორის transitive dependencies) ჩვენი პლატფორმის და სხვა გარემოებებზე დაყრდნობით უნდა გავაანალიზოთ ეს რეპორტი აქვს false-positive-ები*
  12. OWASP dependencyCheck Android

  13. Gradle setup • project and app-level gradle

  14. Advanced setup

  15. CVSS - =Common Vulnerability Scoring System

  16. მადლობა