Come valutare o rivedere la sicurezza di un'applicazione Web Java

1

Esiste un modo per valutare o verificare la sicurezza di un'applicazione Web Java? Ad eccezione del web scanner o della verifica del codice, esiste una metrica / procedura per valutare la sicurezza dell'applicazione?

Ho anche letto Come valutare le librerie Open Source? e Esistono standard di sicurezza per le applicazioni Web? , ma non risolvere la mia domanda Ho bisogno di una metrica per valutare il codice, quindi posso rifattorizzare il codice Java dell'applicazione per ridurre i suoi punti deboli di sicurezza.

    
posta Matt Elson 25.09.2015 - 17:18
fonte

2 risposte

1

Il CVSS valuta il rischio associato alle vulnerabilità rilevate nel software distribuito. Pensa al CVSS come a un modo per valutare la gravità degli incidenti stradali. L' Enumerazione di debolezze comuni descrive i difetti e gli errori del software che sono la causa principale di queste vulnerabilità. Pensate al CWE come analogo alle cattive pratiche (serbatoi di gas esposti a impatti, assenza di guard rail, mancato allacciamento delle cinture di sicurezza) che causano o contribuiscono ai rischi del traffico.

Il Common Weakness Scoring System (CWSS) è il sistema di punteggio per la valutazione di difetti e bug del software. Dato che le debolezze presentano rischi diversi a seconda dei fattori temproali e ambientali, DHS e MITER hanno sviluppato il Common Weakness Risk Analysis Framework (CWRAF) offrire ai produttori di utensili e alle imprese una maggiore flessibilità nella valutazione dell'importanza e della priorità dei problemi software e della sicurezza delle applicazioni.

Altri sistemi di punteggio includono Modelli di errore software di KDM Analytics e Modelli semantici del Dr. Robin Ghandi e del Dr. Yan Wu presso l'Università del Nebraska, rispettivamente a Omaha e Bolling Green State University.

    
risposta data 26.09.2015 - 14:31
fonte
0

Se l'applicazione è completa, generalmente assegnerai un punteggio a ciascun problema separatamente utilizzando un sistema come Sistema di valutazione delle vulnerabilità comuni .

Se l'applicazione è ancora in sviluppo, puoi utilizzare un modello simile progettato per la modellazione di minacce come DREAD .

Ciascuno di questi sistemi fornirà valori numerici per i problemi di sicurezza che è possibile utilizzare per creare una valutazione obiettiva dello stato generale della sicurezza dell'applicazione.

    
risposta data 25.09.2015 - 17:27
fonte

Leggi altre domande sui tag