В настоящее время киберфизические системы нередко становятся объектами целевых кибератак, заключающихся в том числе в эксплуатации уязвимостей программного обеспечения, функционирующего в таких системах. Уязвимое программное обеспечение может быть использовано для распространения вредоносных программных средств, кражи или разглашения конфиденциальных данных, воздействия на защищаемую информацию с нарушением установленных прав, приводящих к разрушению, уничтожению, искажению или сбою в работе автоматизированных систем, в которых данное программное обеспечение функционирует. Определение методики безопасной разработки веб-приложений является важнейшим этапом в процессе разработки системы комплексной защиты объекта информатизации. В статье предложены технологии по улучшению уровня защищенности, предоставляемого методикой безопасного программирования BSIMM, с помощью которых можно обеспечить должный уровень защиты для каждого веб-приложения в зависимости от чувствительности обрабатываемой информации.
1. Алекперов З.А. Обзор популярных уязвимостей веб-приложений и их решений // Аллея науки. – 2019. – № 5 (32), т. 2. – С. 1098–1113. – URL: https://www.elibrary.ru/item.asp?id=38626043 (дата обращения: 06.12.2023).
2. Что такое CI/CD? Разбираемся с непрерывной интеграцией и непрерывной поставкой // Блог компании OTUS. – URL: https://habr.com/ru/
companies/otus/articles/515078/ (дата обращения: 06.12.2023).
3.??OWASP Top 10:2021. – URL: https://owasp.org/Top10/ (accessed: 06.12.2023).
4. BSIMM: вдумчиво о плюсах и минусах // Блог компании Swordfish Security. – URL: https://habr.com/ru/companies/swordfish_security/articles/
680616/ (дата обращения: 06.12.2023).
5.??What are the Microsoft SDL practices? – URL: https://www.micro-soft.com/en-us/securityengineering/sdl/ (accessed: 06.12.2023).
6.??BSIMM 13 foundations report 2022. – URL: https://www.synop-sys.com/software-integrity/engage/bsimm-web/bsimm13-foundations#BSIMM13%
20Foundations.indd%3A.67583%3A2668 (accessed: 06.12.2023).
7.??OWASP. Стандарт верификации требований к безопасности приложений 4.0.3. – URL: https://github.com/OWASP/ASVS/blob/v4.0.3/4.0/OWASP%
20Application%20Security%20Verification%20Standard%204.0.3-ru.pdf (дата обращения: 06.12.2023).
8.??Security Vision. Big Data. – URL: https://www.securityvision.ru/
info/big_data/ (дата обращения: 06.12.2023).
9.??Почему Большие данные (Big Data). – URL: https://club.cnews.ru/
blogs/entry/pochemu_bolshie_dannye_big_data_/ (дата обращения: 02.11.2023).
10.??OWASP Application Security Verification Standard. – URL: https://owasp.org/www-project-application-security-verification-standard/ (accessed: 06.12.2023).
11. Антюфеев А.Б. Применение и проблемы искусственного интеллекта
в информационной безопасности при защите бизнеса // Наука и бизнес: пути развития. – 2021. – № 12 (126). – С. 26–28. – URL: https://www.elibrary.ru/
item.asp?id=48095280 (дата обращения: 06.12.2023).
12. Пителинский К.В, Цапин Д.М. Управление безопасностью информационных потоков методами технологии Big Data // Международный журнал cоциогуманитарных исследований. – 2021. – № 4 (4). – С. 11–20. – URL: https://www.elibrary.ru/item.asp?id=50198550 (дата обращения: 06.12.2023).
13. Evaluating the monolithic and the microservice architecture pattern to deploy web applications in the cloud / M. Villamizar, O. Garcés, H. Castro, M. Verano, L. Salamanca, R. Casallas, S. Gil // 2015 10th Computing Colombian Conference (10CCC). – IEEE, 2015. – P. 583–590. – DOI: 10.1109/
ColumbianCC.2015.7333476.
14. Mikowski M., Powell J. Single page web applications: JavaScript end-to-end. – Simon and Schuster, 2013. – 432 p.
15.??HTTP метод GET / Э.Ф. Насиров, Д.С. Кириллов, М.В. Чернова, Г.Р. Мертинс // Актуальные вопросы современной науки и образования: сборник статей VII Международной научно-практической конференции. – Пенза, 2021. – С. 33–35. – URL: https://naukaip.ru/wp-content/uploads/2021/01/MK-984-1.pdf#page=33 – (дата обращения: 06.12.2023).
16. CI/CD Pipelines evolution and restructuring: a qualitative and quantitative study / F. Zampetti, S. Geremia, G. Bavota, M. Di Penta // 2021 IEEE International Conference on Software Maintenance and Evolution (ICSME). – Luxembourg, 2021. – P. 471–482. DOI: 10.1109/ICSME52107.2021.00048.
17. Thakur P. Evaluation and implementation of progressive web application: thesis. – Helsinki Metropolia University of Applied Sciences, 2018. – URL: https://www.theseus.fi/bitstream/handle/10024/142997/PWA%20thesis.pdf (accessed: 06.12.2023).
18.??A survey and comparison of relational and non-relational database / N. Jatana, S. Puri, M. Ahuja, I. Kathuria, D. Gosain // International Journal of Engineering Research & Technology. – 2012. – Vol. 1 (6). – P. 1–5. – DOI: 10.1142/9781848168701_0002.
19. Boonkrong S., Somboonpattanakit C. Dynamic salt generation and placement for secure password storing // IAENG International Journal of Computer Science. – 2016. – Vol. 43 (1). – P. 27–36. URL: https://www.iaeng.org/IJCS/issues_
v43/issue_1/IJCS_43_1_04.pdf (accessed: 06.12.2023).
20. Li J. Vulnerabilities mapping based on OWASP-SANS: a survey for static application security testing (SAST) // Annals of Emerging Technologies in Computing (AETiC). – 2020. – Vol. 4 (3). – URL: https://arxiv.org/ftp/arxiv/papers/2004/
2004.03216.pdf (accessed: 06.12.2023).
Архипова А.Б., Листаров Р.Е. Формирование методики безопасного программирования для разработки веб-приложений // Безопасность цифровых технологий. – 2023. – № 4 (111). – С. 64–81. – DOI: 10.17212/2782-2230-2023-4-64-81.
Arkhipova A.B., Listarov R.E. Formirovanie metodiki bezopasnogo programmirovaniya dlya razrabotki veb-prilozhenii [Formation of secure programming methods for development web ap-plications]. Bezopasnost' tsifrovykh tekhnologii = Digital Technology Security, 2023, no. 4 (111), pp. 64–81. DOI: 10.17212/2782-2230-2023-4-64-81.