Yazılım Güvenliğini ve Kalitesini Etkileyen Unsurlar

Yazılımların güvenliğinin sağlanması ve kalitesinin yükseltilmesi, kod enjeksiyonlarına karşı tedbir alınması ve yazılımların işletildiği, barındırıldığı veya çalıştırıldığı ortamların da güvenliğinin sağlanması ile yakından ilgilidir. “Ağdaki bir güvenlik açığı kötü niyetli bir kullanıcının host ya da uygulamayı istismar etmesine, hostdaki bir güvenlik açığı kötü niyetli bir...

106 0

Yazılımların güvenliğinin sağlanması ve kalitesinin yükseltilmesi, kod enjeksiyonlarına karşı tedbir alınması ve yazılımların işletildiği, barındırıldığı veya çalıştırıldığı ortamların da güvenliğinin sağlanması ile yakından ilgilidir. “Ağdaki bir güvenlik açığı kötü niyetli bir kullanıcının host ya da uygulamayı istismar etmesine, hostdaki bir güvenlik açığı kötü niyetli bir kullanıcının ağ ya da uygulamayı istismar etmesine, uygulamadaki bir güvenlik açığı kötü niyetli bir kullanıcının host ya da ağı istismar etmesine izin verebilir”.
Bu bağlamda 4 başlıkta yazılım güvenlik temellerini ele alalım.

Kod Enjeksiyonu

Kod enjeksiyonu, bilgisayar açıklarını (bugs) hedef alan ve kodlama aşamasında yapılan hataların sonucudur. Varolan enjeksiyonun kullanım amacına göre veri tabanındaki verilere değiştirilebilir, web sayfaları ele geçirilebilir, sunucuya erişilebilir, işletim sistemlerinin çekirdekleri hedef alınabilir ya da olumlu bir yaklaşım içine girilerek sayfa gelişimlerine katkıda bulunulup veri filtrelemesi ve maliyet azaltımı sağlanabilir.

Enjeksiyonları önlemek için yazılım uygulamalarında çok katmanlı mimarilerin tercih edilmesi, girdi kontrolünün yapılması, debuggerların anahtar kelimelerinin kullanımından uzak durulması ve bunların girdi olarak girilmesinin önlenmesi, veri tabanına direk erişim yerine servis erişimi ya da “store procedure” gibi ön derleme ve değerlendirme yöntemlerini kullanılarak yapılması gibi önlemler alınabilir.

Ağ Güvenliği

Yazılım güvenliğinin sağlanmasında ağın TCP-IP ataklarına karşı korunması, güçlü şifrelemelerin kullanılması, yetkili erişim, yönetici tabanlı control mekanizmalarının kullanılmasının etkisi yüksektir. Yönelen saldırıların ağ katmanında önlenmesi yazılım güvenliği için önemlidir.

Host Güvenliği

Host hizmeti sağlayan web servisi, uygulama servisi ve veritabanı hizmetlerinin herbirinin kendine içinde bir güvenlik yapılandırması bulunmaktadır. Bu nedenle her bir sistemin protokolünün farklı olduğu, bunlara hakim olunması gerektiği ve yeni eklenen yapılar için güvenlik ayarlarının mutlaka gözden geçirilmesi gerektiği unutulmamalıdır.

Uygulama Güvenliği

Uygulamaların güvenliği, sahip oldukları açıklara bağlıdır. Uygulamaların saldırılar karşısındaki dirençlerini tespit etmek için güvenlik açıklarını analizi ile elde edilen erişim doğrulama, belgelendirme, konfigürasyon yönetimi, oturum yönetimi, hassas veri şifreleme, parametre manipülasyonu, hata yönetimi, denetim ve log verileri önemli birer kaynaktır ve her biri bir profil olarak kabul edilir. Erişim doğrulama; uygulama giriş verilerinin kontrolünü ifade ederken belgelendirme; kullanıcının girişi ile ilgili erişim bilgileri içerir. Yetkilendirme; erişim izinlerini, konfigürasyon yönetimi; uygulamanın nasıl çalışacağından hangi veritabanını kullanacağına kadar bütün operasyonel verileri ifade eder. Hassas veri, uygulama verilerinin hangi bellekte ve ne şekilde tutulduğunu ifade eder. Oturum yönetimi; kullanıcının sayfa ile etkileşimini, şifreleme; veri gizliliğinin sağlanması ve şifreleme kurallarını düzenler. Parametre manipülasyonu; parametrelerin nasıl ele alınacağını, hata yönetimi; hataların nasıl ele alınacağını ve hata mesajlarının kontrolünü içerir. Denetim ve log protokolleri ise erişimlerin denetimini nasıl sağlanacağı ve sistem loglarının tutulma prensiplerini ifade eder. Yazılım geliştirilirken güvenli yazılım geliştirme adımlarının yanı sıra güvenlik açıklarının analiz sonuçlarının da dikkate alınması uygulama güvenliğini arttıracaktır.

Soru ve görüşlerinizi yorum kısmından bizlere ulaştırabilir daha fazla bilgi almak için Facebook sayfamızı takip edebilirsiniz..

Etiketler

Yorum Sırası Sizde

css.php