Cómo calificar o revisar la seguridad de una aplicación web Java

1

¿Hay una manera de calificar o revisar la seguridad de una aplicación web Java? Excepto por el escáner web o la auditoría de código, ¿existe una métrica / procedimiento para evaluar la seguridad de la aplicación?

También he leído ¿Cómo calificar bibliotecas de código abierto? y ¿Hay algún estándar de seguridad de aplicaciones web? , pero No resuelvas mi pregunta. Necesito una métrica para calificar el código, luego puedo refactorizar el código Java de la aplicación para reducir sus debilidades de seguridad.

    
pregunta Matt Elson 25.09.2015 - 17:18
fuente

2 respuestas

1

El CVSS califica el riesgo asociado con las vulnerabilidades encontradas en el software implementado. Piense en CVSS como una manera de calificar la gravedad de los accidentes de tráfico. La Enumeración de Debilidades Comunes describe las fallas y los errores del software que son la causa raíz de estas vulnerabilidades. Piense en el CWE como análogo a las malas prácticas (tanques de gas expuestos a impactos, ausencia de barandillas, fallas en el cinturón de seguridad) que causan o contribuyen a los riesgos del tráfico.

El Sistema de puntuación de debilidad común (CWSS) es el sistema de puntuación para evaluar fallas y errores de software. Dado que las debilidades presentan diferentes riesgos según el clima y los factores ambientales, DHS y MITRE han desarrollado el Marco Común de Análisis de Riesgo de Debilidad (CWRAF) dar a los fabricantes de herramientas y empresas una mayor flexibilidad para evaluar la importancia y la prioridad de los problemas de software y la seguridad de las aplicaciones.

Otros sistemas de puntuación incluyen Patrones de falla de software de KDM Analytics y Plantillas semánticas del Dr. Robin Ghandi y el Dr. Yan Wu de la Universidad de Nebraska en Omaha y Bolling Green State University respectivamente.

    
respondido por el WaltHouser 26.09.2015 - 14:31
fuente
0

Si la solicitud está completa, generalmente calificaría cada problema por separado utilizando un sistema como el Sistema de puntuación de vulnerabilidad común .

Si la aplicación aún está en desarrollo, puedes usar un modelo similar diseñado para el modelado de amenazas, como DREAD .

Cada uno de estos sistemas le dará valores numéricos para sus problemas de seguridad que puede utilizar para crear una evaluación objetiva del estado general de la seguridad de la aplicación.

    
respondido por el Xander 25.09.2015 - 17:27
fuente

Lea otras preguntas en las etiquetas