우리는 웹 응용 프로그램 방화벽 (WAF)에 대한 필요성을 논의 하는 새해를 시작 거 야, 소스 코드에 대 한 보안 프레임 워크와 라이브러리를 활용, 그리고 Bugalert 라는 새로운 서비스 즉석에서 높은/중요 한 심각도 취약점을 통지 합니다.
WAF를 사용하거나 WAF를 사용하지 말아라
WAF 효과는 WAF의 효능을 결정하기 어려울 수 있으므로 크게 논의된 주제입니다. 다음과 같은 조건이 충족될 때마다 WAF가 도움이 될 수 있습니다.
- 취약점을 해결하는 비용은 WAF 구현보다 높습니다. 또는
- 차단될 트래픽의 양은 허용 오차 임계값보다 낮습니다.
방화벽을 사용하여 봇과 스크레이퍼가 웹 사이트에 도달하지 못하도록 하고, 응용 프로그램 계층 보안을 제공하고, IP 목록을 허용/금지하는 완화를 구현할 수도 있습니다. WAF를 간단하게 구현하려면 Captcha 또는 이러한 유형의 봇을 줄이기 위한 자바스크립트 챌린지를 사용하는 것이 포함될 수 있습니다. WAF를 프록시로 사용하여 나머지 트래픽을 금지하는 동안 특정 트래픽을 허용할 수 있습니다.
WAF에 대한 중요한 점은 설정 - 그것 - 잊어 버린 솔루션이 아니라는 것입니다. 그들은 WAF의 배포에 처음부터 부드러운 사랑의 치료가 필요합니다. 지속적으로 사용을 최적화하기 위해 WAF를 유지하기 위해 전담 직원/팀이 필요합니다.
WAF에 접근하는 이상적인 방법은 웹 응용 프로그램에 대한 원치 않는 트래픽을 차단하기 위해 주로 설계된 솔루션으로 취급하는 것입니다.
보안 코드를 위한 보안 프레임워크 및 라이브러리 활용
보안 코드를 직접 구현하는 것은 제대로 실행하는 번거로운 작업이 될 수 있습니다. 공격자는 코드의 작은 조각을 악용하여 응용 프로그램을 취약하게 만들 수 있습니다.
코드를 보호하는 기능에 관해서는 제품 구축에 집중할 수 있는 동시에 보안에 집중할 수 있는 프레임워크와 라이브러리가 있습니다. Github의 이 문서에서는 이러한 프레임워크 및 라이브러리를 사용할 때 찾아야 할 사항을 평가하는 데 도움이 되는 다양한 방법과 요소에 대해 설명합니다.
사용할 라이브러리를 결정할 때마다 다음 다섯 가지 요소를 고려해야 합니다.
- 패키지가 널리 사용되어 있습니까?
- 패키지에 좋은 평판이 있습니까?
- 특정 라이브러리에 대한 좋은 리뷰가 있습니까?
- 패키지가 적극적으로 유지되고 있습니까?
- 패키지에 성숙도가 있습니까?
- 이것은 대부분의 기능이 일관되게 구현되는 명확한 로드맵이 있다는 좋은 지표입니다.
- 패키지의 보안 문제가 적시에 해결되고 있습니까?
웹 프레임워크를 처리하고 해당 프레임워크에서 보안을 원할 때 프레임워크에서 처리해야 하는 보안 작업(XSS 출력 인코딩 또는 입력 유효성 검사)을 결정하는 것이 중요합니다.
어떤 형태의 보안이 포함된 웹 프레임워크를 사용할 때 고려해야 할 중요한 요소는 프레임워크가 사용자용 데이터 인코딩을 처리할 수 있도록 하는 것입니다. 프레임워크에서 데이터 인코딩을 처리하도록 하면 사용자가 보안 측정값을 놓치거나 잘못 구현할 가능성이 완화됩니다. 가능한 안전하지 않은 동작을 허용하려면 허용된 동작에 대한 철저한 분석과 기본값이 아님을 깨달아야 합니다.
라이브러리와 프레임워크를 통합할 때는 소스 코드의 종속성을 업데이트하는 것이 중요합니다. GitHub 종속성과 같은 소프트웨어 구성 분석 도구를 사용하여 종속성을 최신 상태로 유지할 수 있습니다.
버그 경고
log4j 취약점 후, 보안 전문가, 매튜 설리반, Bugalert라는새로운 서비스를 발표, 어떤 높고 중요한 취약점에 대한 보안 및 IT 전문가를 경고. Bugalert의 유일한 목표는 이메일, 전화 또는 SMS를 통해 심각한 소프트웨어 결함을 신속하게 알리는 것입니다.
Bugalert는 현재 기여자가 프로그램을 개발하고 개선하기 위한 것입니다. 기여에 관심이 있는 분은 Github 문제를 자유롭게 열어보세요.
내용