ଆପ୍ଲିକେସନ୍ ସୁରକ୍ଷା

ଏହି ପ୍ରସଙ୍ଗଟି ଅସମ୍ପୂର୍ଣ୍ଣ ଅଟେ । ଆପଣ ଏହାକୁ ସଂପୂର୍ଣ୍ଣ କରି ଉଇକିପିଡ଼ିଆକୁ ସମୃଦ୍ଧ କରିପାରିବେ । v t e

ଆପ୍ଲିକେସନ୍ ସୁରକ୍ଷା ସାଇବର ସୁରକ୍ଷାର ଏକ ଅଂଶ ଅଟେ । ଏହା ମୁଖ୍ୟ ଉଦ୍ଦେଶ୍ୟ ହେଲା ସଫ୍ଟୱେର୍ ବିକାଶ କରିବା ସମୟରେ ଏଥିରେ କାମ କରୁଥିବା ଲୋକମାନେ କିପରି ସବୁ ଦିଗରୁ ସୁରକ୍ଷାକୁ ଧ୍ୟାନରେ ରଖି ସଫ୍ଟୱେର ତିଆରି କରିବେ । ସଫ୍ଟୱେର୍ ପ୍ରୋଗ୍ରାମରେ ଥିବା ଦୁର୍ବଳତାକୁୁ ଖୋଜି ବାହାର କରିବା, ଠିକ୍ କରିବା ଓ ସୁରକ୍ଷାଜନିତ ସମସ୍ୟାରୁ କିପରି ରୋକାଯାଇପାରିବ ସେଥିପାଇଁ ଚେଷ୍ଟିତ ହେବା ସୁରକ୍ଷାର ବିଭିନ୍ନ ଦିଗ ମଧ୍ୟରୁ ଅନ୍ୟତମ ଏବଂ ଏହା ସଫ୍ଟୱେର ବିକାଶ ଧାରାରେ ଗ୍ରାହକଙ୍କ ଆବଶ୍ୟକତାଠାରୁ ଆରମ୍ଭ କରି ସଠିକ୍ ଭାବରେ କାର୍ଯ୍ୟ କରୁଥିବା ଉପ୍ତାଦଟିଏ ବିକଶିତ କରିବା ପର୍ଯ୍ୟନ୍ତ ଚାଲିଥାଏ ।

ପ୍ରକ୍ରିୟା[ସମ୍ପାଦନା]

ସଫ୍ଟୱେର୍ ତିଆରି କରିବା ସମୟରେ ବିଭିନ୍ନ ପ୍ରକାର ଉପାୟ ଅବଲମ୍ବନ କରାଯାଏ, ସେଗୁଡିକ ହେଲା

• ଗଠନ * ଯୋଜନା କରିବା ସମୟରେ ଏହାର ଗଠନକୁ ପୁଂଖାନୁପୁଖ ଭାବେ ଅନୁଧ୍ୟାନ କରାଯାଏ ।
• କୋଡ୍ ସମୀକ୍ଷା * ସୁରକ୍ଷା ବିଶେଷଜ୍ଞମାନେ ଅତି ଗଭୀର ଭାବରେ ସଫ୍ଟୱେର୍ ପ୍ରୋଗ୍ରାମର ଉତ୍ସକୁ ନିରୀକ୍ଷଣ କରି ତ୍ରୁଟି ଖୋଜିଥାନ୍ତି । ଏହାକୁ White Box Security review ମଧ୍ୟ କୁହାଯାଏ ।
• ବ୍ୟବହାର * ଆପ୍ଲିକେସନ୍କୁ ବ୍ୟବହାର କରାଯାଇ ସୁରକ୍ଷା ଦୁର୍ବଳତା ନିରୂପଣ କରାଯାଏ । ଏହାକୁ Black Box Security review ମଧ୍ୟ କୁହାଯାଏ ।
• ସ୍ୱୟଂଚାଳିତ ପ୍ରକ୍ରିୟା * ଏଥିରେ ଆଉ ଏକ ବିଶେଷ ଧରଣର ସଫ୍ଟୱେର୍ ଏହାକୁ ଟେଷ୍ଟ କରିଥାଏ ଓ ରିପୋର୍ଟ ତିଆରି କରିଥାଏ ।
• ବାହ୍ୟ ସେବା * ଏପରି କିଛି ୱେବସାଇଟ୍ ଅଛନ୍ତି ଯେଊମାନେ ଏହାକୁ ଏକ ସେବା ଭାବେ ଯୋଗାଇଦେଇଥାନ୍ତି । ସେଠାରେ ସାରା ବିଶ୍ୱର ଦକ୍ଷ ସଫ୍ଟୱେର୍ ଟେଷ୍ଟରମାନଙ୍କଦ୍ୱାରା ଅତ୍ୟନ୍ତ ଗଭୀର ଭାବେ ପରାକ୍ଷା କରାଯାଏ ।

ୱେବ ଆପ୍ଲିକେସନ୍ ସୁରକ୍ଷା ^{[୧][୨][୩]}[ସମ୍ପାଦନା]

ୱେବ ଆପ୍ଲିକେସନ୍ ସୁରକ୍ଷା ତଥ୍ୟ ସୁରକ୍ଷାର ଅଂଶବିଶେଷ ଯାହା ୱେବସାଇଟ୍, ୱେବ ଆପ୍ଲିକେସନ୍ ଓ ୱେବ ସର୍ଭିସେସ୍ର ସୁରକ୍ଷାକୁ ବୁଝାଇ ଥାଏ । ଏହା ଆପ୍ଲିକେସନ୍ ସୁରକ୍ଷାର ତତ୍ତ୍ୱକୁ ବ୍ୟବହାର କରି ଇନ୍ଟରନେଟ୍ ଓ ୱେବର ସୁରକ୍ଷା ପାଇଁ ବ୍ୟବହାର କରାଯାଏ ।

ଶୀର୍ଷ ୧୦ଟି ୱେବ ସୁରକ୍ଷାରେ ଥିବା ଦୁର୍ବଳତା^[୪][ସମ୍ପାଦନା]

OWASP ଫାଉଣ୍ଡେସନ୍ ଅନୁସାରେ ସୁରକ୍ଷାରେ ଥିବା ବିପଦପୂର୍ଣ୍ଣ ଦିଗଗୁଡ଼ିକ ହେଲା

• Broken access control
• Cryptographic Failures
• Injection
• Insecure Design
• Security Misconfiguration
• Vulnerable and Outdated Components
• Identification and Authentification Failures
• Software and Data Integrity Failures
• Security Logging and Monitoring Failures*
• Server-Side Request Forgery (SSRF)*

ସୁରକ୍ଷା ଯାଞ୍ଚ ପାଇଁ ବ୍ୟବହୃତ ସଫ୍ଟୱେର୍[ସମ୍ପାଦନା]

• Static Application Security Testing (SAST)
• Dynamic Application Security Testing DAST
• Interactive Application Security Testing (IAST)
• Runtime application self-protection
• Dependency scanners
• Abstraction

ସୁରକ୍ଷାର ମାନକ ଓ ନିୟମାବଳୀ[ସମ୍ପାଦନା]

• CERT Secure Coding

• ISO/IEC 27034-1:2011 Information technology — Security techniques — Application security -- Part 1: Overview and concepts
• ISO/IEC TR 24772:2013 Information technology — Programming languages — Guidance to avoiding vulnerabilities in programming languages through language selection and use
• NIST Special Publication 800-53
• OWASP ASVS: Web Application Security Verification Standard

ଆଧାର[ସମ୍ପାଦନା]

1. ↑ "Web Application Security | What do You Need to Know? | Imperva". Learning Center (in ଆମେରିକୀୟ ଇଂରାଜୀ). Retrieved 2022-01-15.
2. ↑ "What Is Web Application Security?". www.f5.com (in ଆମେରିକୀୟ ଇଂରାଜୀ). Retrieved 2022-01-15.
3. ↑ "What Is Web Application Security and How Does It Work? | Synopsys". www.synopsys.com (in ଇଂରାଜୀ). Retrieved 2022-01-15.
4. ↑ "OWASP Top Ten Web Application Security Risks | OWASP". owasp.org (in ଇଂରାଜୀ). Retrieved 2022-01-19.