应用程序安全性

如果你相信你的软件应该做应该做的事,尽管攻击者的努力,随意的用户输入,或事故,那么应用程序安全性可能是一些你会感兴趣。获得保证你获取或开发的软件产品是免费的已知类型的安全漏洞可以利用公共知识,如常见的弱点枚举(CWE)和常见的攻击模式枚举和分类(CAPEC)集合。通过利用这些集合,以及高质量的工具和服务寻找安全漏洞的代码和测试软件与误用和滥用测试用例,你可以系统地组织和文档保证活动进行。

通过集中应用程序安全性努力追求最“重要”的第一个可以利用社区优先级列表等OWASP前十名或者是CWE /无排名前25位或者你可以组织一个特定于应用程序的优先级列表。一种方法是去最危险的缺陷影响您的组织。的常见的弱点风险分析框架(CWRAF)和常见的弱点评分系统(水煤浆)支持优先级的弱点。

优先考虑另一种方法是考虑最可能的攻击类型系统和弱点是有效的。这是描述的基本方法20004年ISO / IEC技术报告,“精炼软件脆弱性分析根据ISO / IEC 15408和ISO / IEC 18045”和“工程攻击”页面CWE网站。