בדיקות אבטחה הן
חלק מתהליך הבטחת איכות או בדיקות תוכנה. את הבדיקות מבצעים גם בקודים ובתוך
מערכות ומאגרי מידע. מטרת הבדיקות היא לעקוב ולנטר התנהגות לא נאותה. יחד עם זאת,
בדיקות לקוד שמות דגש על עמידות התוכנה והמערכת בפני התקפות זדוניות, ניסיונות
לגניבת מידע וכריית נתונים או ניצול לרעה של תשתיות המחשוב.
חשוב לציין כי
בדיקות אבטחה לקוד מיועדות עבור כל סוגי ההתקפות. השאלה היחידה היא רק באיזו שיטה
בוחרים להשתמש וכיצד מוודאים את האפקטיביות שלה. בדיקת אבטחה ברמה גבוהה תמנע
בעיות בקוד ויכולה גם להגן על המערכת מפני פגיעות חיצוניות, גישה של גורמים לא
מורשים ועוד. את הבדיקה יש לבצע באופן מקצועי ועל פי הנהלים.
עקרונות של בדיקות אבטחה לקוד
בדיקות אבטחה לקוד מתבצעות על בסיס ששת העקרונות הבאים:
- · שמירה על סודיות המידע המקודד
- · שלמות המידע בתוך הקוד ובין התוכנות
- · אימות זהות השולח בצורה מפורשת
- · מתן הרשאות לשינוי או צפייה במידע מסוים
- · זמינות הקוד לשימוש חופשי או מוגבל
- · אפשרות להתחקות אחר פעולה מסוימת
בדיקות קוד מאמתות
את התנהגות התוכנה או האפליקציה מול מסמך הדרישות. המסמך מפרט מהי התנהגות נכונה
עבור קלט מסוים, בניגוד לבדיקת איכות תוכנה שמכילה מטריקות המודדות איזה חלק מהקוד
מכוסה על ידי הבדיקות.
שיטות לבדיקת אבטחת תוכנה
הקפדה על העקרונות
הנכונים והיכרות עם קודים שונים לא תמיד מספיקים לצורך ביצוע בדיקת אבטחת תוכנה.
יש כמה שיטות להשיג את המטרה הזו וחשוב למצוא את הדרך היעילה והטובה ביותר. שיטה
אחת עבור בדיקות אבטחה לקוד היא שימוש בכלים אוטומטיים. כאן מדובר על כלים
המיועדים לאיתור תקלות קטנות הנקראות "באגים".
שיטה שנייה לבדיקת
אבטחת תוכנה היא שימוש בספריות בדיקה. אלו ספריות המכילות אוסף של מתקפות ידועות.
את המתקפות ניתן להוריד באופן אוטומטי על הקוד, על התוכנה ועל המערכת. ספריות
בדיקה מונעות הישנות של מתקפות מוכרות והן מבוססות על העקרון שבוחן כיצד מתכנתים
חוזרים על טעויות בעת כתיבת קוד.
למידע נוסף בנושא והזמנת שירותים של בדיקות אבטחה לקוד הכנסו לאתר http://www.securenet.co.il
