ІНФОРМАЦІЙНА ТЕХНОЛОГІЯ МОНІТОРИНГУ БЕЗПЕКИ ДАНИХ ПРОГРАМНОГО ЗАБЕЗПЕЧЕННЯ

Леонід Куперштейн; Геннадій Луцишин; Михайло Кренцін

doi:10.28925/2663-4023.2024.23.7184

Автор(и)

Леонід Куперштейн Вінницький національний технічний університет https://orcid.org/0000-0001-6737-7134
Геннадій Луцишин Вінницький національний технічний університет https://orcid.org/0009-0001-5753-5407
Михайло Кренцін Вінницький національний технічний університет https://orcid.org/0000-0002-1792-9401

DOI:

https://doi.org/10.28925/2663-4023.2024.23.7184

Ключові слова:

безпека застосунку; моніторинг даних; Cross-site Scripting; SQL-ін’єкції; перевірка введених даних; помилки валідації

Анотація

У статті запропоновано інформаційну технологію моніторингу безпеки даних програмного забезпечення з метою підвищення захищеності допоміжного та кінцевого програмного забезпечення в процесі його функціонування за рахунок універсальності архітектури з можливостями узгодження процесів перевірки безпеки даних у клієнт-серверних взаємодіях та інтеграції у програмні технології розробки програмного забезпечення з використанням уніфікованих інтерфейсів задання розширюваних наборів правил перевірки. Проведено аналіз предметної області, в ході якого було встановлено, що задачі перевірки безпеки даних програмного забезпечення входять до вимог відомих стандартів з безпеки даних, а пов’язані вразливості відзначаються як особливо важливі. Також було встановлено, що традиційного моніторингу лише вхідних даних програмного забезпечення недостатньо, тому актуальною є проблема моніторингу безпеки різних категорій даних програмного забезпечення. Можливості моніторингу безпеки та коректності даних програмного забезпечення існуючих засобів мають частковий характер: орієнтація на окремі категорії даних, платформна залежність, вузькі можливості інтеграції з іншими засобами розробки програмного забезпечення, обмеженість застосування, складність чи обмеженість розширення, низький рівень повторного використання готових перевірених рішень та інші. На основі аналізу існуючих засобів моніторингу безпеки даних програмного забезпечення було встановлено недоліки існуючих реалізацій. В якості рішення запропоновано універсальну архітектуру програмного фреймворку. Було проведено аналіз вразливостей різних категорій даних програмного забезпечення, а також досліджено рекомендовані методи імплементації безпеки даних, які було застосовано у запропонованій розробці. У статті розглянуто структуру запропонованої інформаційної технології, наведено універсальну архітектуру програмного фреймворку, продемонстровано перевірку роботи розробленого засобу та наведено оцінку ефективності використання фреймворку моніторингу безпеки даних при розробці програмного забезпечення. Запропонована архітектура та напрямки подальшого удосконалення фреймворку дозволяють суттєво розширювати його функціональні можливості та легко інтегрувати у популярні технології розробки програмного забезпечення. Передбачається, що розроблена інформаційна технологія моніторингу безпеки даних програмного забезпечення набуде широкого використання не лише в комерційній розробці програмного забезпечення, але і в навчальному та науковому застосуванні.

Завантаження

Дані завантаження ще не доступні.

Посилання

Demography of Europe - A growing population until 2020. (n.d.). Language selection | European Commission. https://ec.europa.eu/eurostat/web/interactive-publications/digitalisation-2023.

Official PCI Security Standards Council Site. (n.d.). PCI Security Standards Council. https://www.pcisecuritystandards.org

CWE - CWE-20: Improper Input Validation (4.14). (n.d.). CWE - Common Weakness Enumeration. https://cwe.mitre.org/data/definitions/20.html

Security Knowledge Framework. (n.d.). Security Knowledge Framework. https://www.securityknowledgeframework.org

OWASP Web Security Testing Guide|OWASP Foundation. (n.d.). OWASP Foundation, the Open Source Foundation for Application Security | OWASP Foundation. https://owasp.org/www-project-web-security-testing-guide

OWASP Top Ten|OWASP Foundation. (n.d.). OWASP Foundation, the Open Source Foundation for Application Security | OWASP Foundation. https://owasp.org/www-project-top-ten

Fowler, M. (2002). Patterns of Enterprise Application Architecture. Addison-Wesley Professional.

Martin, R. (2017). Clean Architecture: A Craftsman’s Guide to Software Structure and Design. Pearson Education Asia.

REST Security - OWASP Cheat Sheet Series. (n.d.). Introduction - OWASP Cheat Sheet Series. https://cheatsheetseries.owasp.org/cheatsheets/REST_Security_Cheat_Sheet.html#input-validation

WSTG - Stable | OWASP Foundation. (n.d.). OWASP Foundation, the Open Source Foundation for Application Security | OWASP Foundation. https://owasp.org/www-project-web-security-testing-guide/stable/4-Web_Application_Security_Testing/10-Business_Logic_Testing.

P of EAA: Data Transfer Object. (n.d.). martinfowler.com. https://martinfowler.com/eaaCatalog/dataTransferObject.html

Smith, J. (2021). Entity Framework Core in Action, Second Edition. Manning Publications Co. LLC.

Lerman, J. (2010). Programming Entity Framework: Building Data Centric Apps with the Ado. Net Entity Framework. O’Reilly Media, Incorporated.

A Taxonomy of Coding Errors that Affect Security. (n.d.). Software Security|Setting Manipulation. https://vulncat.fortify.com/en/detail?id=desc.dataflow.cfml.setting_manipu-lation.

Programming languages rating 2023. (2023). Сommunity of programmers|DOU. https://dou.ua/lenta/articles/language-rating-2023

FluentValidation — FluentValidation documentation. (n.d.). FluentValidation — FluentValidation documentation. https://docs.fluentvalidation.net/en/latest

Jakarta Bean Validation - Home. (n.d.). Jakarta Bean Validation - Home. https://beanvalidation.org

GitHub - jquense/yup at pre-v1. (n.d.). GitHub. https://github.com/jquense/yup/tree/pre-v1