Jump to content

ଆପ୍ଲିକେସନ୍ ସୁରକ୍ଷା

ଉଇକିପିଡ଼ିଆ‌ରୁ

ଆପ୍ଲିକେସନ୍ ସୁରକ୍ଷା ସାଇବର ସୁରକ୍ଷାର ଏକ ଅଂଶ ଅଟେ । ଏହା ମୁଖ୍ୟ ଉଦ୍ଦେଶ୍ୟ ହେଲା ସଫ୍ଟୱେର୍ ବିକାଶ କରିବା ସମୟରେ ଏଥିରେ କାମ କରୁଥିବା ଲୋକମାନେ କିପରି ସବୁ ଦିଗରୁ ସୁରକ୍ଷାକୁ ଧ୍ୟାନରେ ରଖି ସଫ୍ଟୱେର ତିଆରି କରିବେ । ସଫ୍ଟୱେର୍ ପ୍ରୋଗ୍ରାମରେ ଥିବା ଦୁର୍ବଳତାକୁୁ ଖୋଜି ବାହାର କରିବା, ଠିକ୍ କରିବା ଓ ସୁରକ୍ଷାଜନିତ ସମସ୍ୟାରୁ କିପରି ରୋକାଯାଇପାରିବ ସେଥିପାଇଁ ଚେଷ୍ଟିତ ହେବା ସୁରକ୍ଷାର ବିଭିନ୍ନ ଦିଗ ମଧ୍ୟରୁ ଅନ୍ୟତମ ଏବଂ ଏହା ସଫ୍ଟୱେର ବିକାଶ ଧାରାରେ ଗ୍ରାହକଙ୍କ ଆବଶ୍ୟକତାଠାରୁ ଆରମ୍ଭ କରି ସଠିକ୍ ଭାବରେ କାର୍ଯ୍ୟ କରୁଥିବା ଉପ୍ତାଦଟିଏ ବିକଶିତ କରିବା ପର୍ଯ୍ୟନ୍ତ ଚାଲିଥାଏ ।

ପ୍ରକ୍ରିୟା

[ସମ୍ପାଦନା]

ସଫ୍ଟୱେର୍ ତିଆରି କରିବା ସମୟରେ ବିଭିନ୍ନ ପ୍ରକାର ଉପାୟ ଅବଲମ୍ବନ କରାଯାଏ, ସେଗୁଡିକ ହେଲା

  • ଗଠନ * ଯୋଜନା କରିବା ସମୟରେ ଏହାର ଗଠନକୁ ପୁଂଖାନୁପୁଖ ଭାବେ ଅନୁଧ୍ୟାନ କରାଯାଏ ।
  • କୋଡ୍ ସମୀକ୍ଷା * ସୁରକ୍ଷା ବିଶେଷଜ୍ଞମାନେ ଅତି ଗଭୀର ଭାବରେ ସଫ୍ଟୱେର୍ ପ୍ରୋଗ୍ରାମର ଉତ୍ସକୁ ନିରୀକ୍ଷଣ କରି ତ୍ରୁଟି ଖୋଜିଥାନ୍ତି । ଏହାକୁ White Box Security review ମଧ୍ୟ କୁହାଯାଏ ।
  • ବ୍ୟବହାର * ଆପ୍ଲିକେସନ୍କୁ ବ୍ୟବହାର କରାଯାଇ ସୁରକ୍ଷା ଦୁର୍ବଳତା ନିରୂପଣ କରାଯାଏ । ଏହାକୁ Black Box Security review ମଧ୍ୟ କୁହାଯାଏ ।
  • ସ୍ୱୟଂଚାଳିତ ପ୍ରକ୍ରିୟା * ଏଥିରେ ଆଉ ଏକ ବିଶେଷ ଧରଣର ସଫ୍ଟୱେର୍ ଏହାକୁ ଟେଷ୍ଟ କରିଥାଏ ଓ ରିପୋର୍ଟ ତିଆରି କରିଥାଏ ।
  • ବାହ୍ୟ ସେବା * ଏପରି କିଛି ୱେବସାଇଟ୍ ଅଛନ୍ତି ଯେଊମାନେ ଏହାକୁ ଏକ ସେବା ଭାବେ ଯୋଗାଇଦେଇଥାନ୍ତି । ସେଠାରେ ସାରା ବିଶ୍ୱର ଦକ୍ଷ ସଫ୍ଟୱେର୍ ଟେଷ୍ଟରମାନଙ୍କଦ୍ୱାରା ଅତ୍ୟନ୍ତ ଗଭୀର ଭାବେ ପରାକ୍ଷା କରାଯାଏ ।

ୱେବ ଆପ୍ଲିକେସନ୍ ସୁରକ୍ଷା [][][]

[ସମ୍ପାଦନା]

ୱେବ ଆପ୍ଲିକେସନ୍ ସୁରକ୍ଷା ତଥ୍ୟ ସୁରକ୍ଷାର ଅଂଶବିଶେଷ ଯାହା ୱେବସାଇଟ୍, ୱେବ ଆପ୍ଲିକେସନ୍ ଓ ୱେବ ସର୍ଭିସେସ୍ର ସୁରକ୍ଷାକୁ ବୁଝାଇ ଥାଏ । ଏହା ଆପ୍ଲିକେସନ୍ ସୁରକ୍ଷାର ତତ୍ତ୍ୱକୁ ବ୍ୟବହାର କରି ଇନ୍ଟରନେଟ୍ ଓ ୱେବର ସୁରକ୍ଷା ପାଇଁ ବ୍ୟବହାର କରାଯାଏ ।

ଶୀର୍ଷ ୧୦ଟି ୱେବ ସୁରକ୍ଷାରେ ଥିବା ଦୁର୍ବଳତା[]

[ସମ୍ପାଦନା]

OWASP ଫାଉଣ୍ଡେସନ୍ ଅନୁସାରେ ସୁରକ୍ଷାରେ ଥିବା ବିପଦପୂର୍ଣ୍ଣ ଦିଗଗୁଡ଼ିକ ହେଲା

  • Broken access control
  • Cryptographic Failures
  • Injection
  • Insecure Design
  • Security Misconfiguration
  • Vulnerable and Outdated Components
  • Identification and Authentification Failures
  • Software and Data Integrity Failures
  • Security Logging and Monitoring Failures*
  • Server-Side Request Forgery (SSRF)*

ସୁରକ୍ଷା ଯାଞ୍ଚ ପାଇଁ ବ୍ୟବହୃତ ସଫ୍ଟୱେର୍

[ସମ୍ପାଦନା]
  • Static Application Security Testing (SAST)
  • Dynamic Application Security Testing DAST
  • Interactive Application Security Testing (IAST)
  • Runtime application self-protection
  • Dependency scanners
  • Abstraction

ସୁରକ୍ଷାର ମାନକ ଓ ନିୟମାବଳୀ

[ସମ୍ପାଦନା]
  • ISO/IEC 27034-1:2011 Information technology — Security techniques — Application security -- Part 1: Overview and concepts
  • ISO/IEC TR 24772:2013 Information technology — Programming languages — Guidance to avoiding vulnerabilities in programming languages through language selection and use
  • NIST Special Publication 800-53
  • OWASP ASVS: Web Application Security Verification Standard
  1. "Web Application Security | What do You Need to Know? | Imperva". Learning Center (in ଆମେରିକୀୟ ଇଂରାଜୀ). Retrieved 2022-01-15.
  2. "What Is Web Application Security?". www.f5.com (in ଆମେରିକୀୟ ଇଂରାଜୀ). Retrieved 2022-01-15.
  3. "What Is Web Application Security and How Does It Work? | Synopsys". www.synopsys.com (in ଇଂରାଜୀ). Retrieved 2022-01-15.
  4. "OWASP Top Ten Web Application Security Risks | OWASP". owasp.org (in ଇଂରାଜୀ). Retrieved 2022-01-19.