अनुप्रयोग सुरक्षा

अनुप्रयोग सुरक्षा (संक्षिप्त ऐपसेक) में वे सभी कार्य सम्मिलित हैं जो विकास समूहों के लिए एक सुरक्षित सॉफ़्टवेयर विकास जीवन चक्र प्रस्तुत करते हैं। इसका अंतिम लक्ष्य सुरक्षा प्रथाओं में संशोधन करना है और इसके माध्यम से अनुप्रयोगों के भीतर सुरक्षा समस्याओं को ढूंढना, ठीक करना और अधिमानतः रोकना है। यह आवश्यकताओं के विश्लेषण, डिजाइन, कार्यान्वयन, सत्यापन के साथ-साथ रखरखाव से पूरे अनुप्रयोग जीवन चक्र को सम्मिलित करते है।

दृष्टिकोण
अलग-अलग दृष्टिकोण सुरक्षा भेद्यता के विभिन्न उपसमुच्चयों को एक अनुप्रयोग में छिपा हुआ पाएंगे और सॉफ्टवेयर जीवनचक्र में अलग-अलग समय पर सबसे प्रभावी होते हैं। वे प्रत्येक पाए गए समय, प्रयास, लागत और भेद्यता के विभिन्न व्यापार का प्रतिनिधित्व करते हैं।


 * डिजाइन की समीक्षा. कोड लिखे जाने से पहले सुरक्षा समस्याओं के लिए अनुप्रयोग की संरचना और डिज़ाइन की समीक्षा की जा सकती है। इस चरण में सामान्य तकनीक एक संकट मॉडल का निर्माण है।
 * व्हाइटबॉक्स सुरक्षा समीक्षा, या कोड समीक्षा. यह एक सुरक्षा इंजीनियर है जो स्रोत कोड की हस्तचालन से समीक्षा करके और सुरक्षा कमियों को ध्यान में रखते हुए अनुप्रयोग को गहराई से समझता है। अनुप्रयोग की समझ के माध्यम से, अनुप्रयोग के लिए अद्वितीय भेद्यता पाई जा सकती है।
 * ब्लैकबॉक्स सूचना सुरक्षा अंकेक्षण. यह मात्र सुरक्षा भेद्यता के लिए परीक्षण करने वाले अनुप्रयोग के उपयोग के माध्यम से है, किसी स्रोत कोड की आवश्यकता नहीं है।
 * स्वचालित उपकरण . कई सुरक्षा उपकरणों को विकास या परीक्षण परिवेश में सम्मिलित करके स्वचालित किया जा सकता है। इसके उदाहरण स्वचालित डीएएसटी/एसएएसटी उपकरण हैं जो कोड संपादक या सीआई/सीडी प्लेटफॉर्म में एकीकृत हैं।
 * बग बाउंटी प्रोग्राम. ये हैकर-संचालित अनुप्रयोग सुरक्षा हल हैं जो कई वेबसाइटों और सॉफ़्टवेयर विकासक द्वारा प्रस्तुत किए जाते हैं जिनके द्वारा व्यक्ति प्रतिवेदन बग के लिए मान्यता और प्रतिकर प्राप्त कर सकते हैं।

वेब अनुप्रयोग सुरक्षा
वेब अनुप्रयोग सुरक्षा सूचना सुरक्षा की एक शाखा है जो विशेष रूप से वेबसाइट, वेब अनुप्रयोग और वेब सेवा की सुरक्षा से संबंधित है। उच्च स्तर पर, वेब अनुप्रयोग सुरक्षा अनुप्रयोग सुरक्षा के सिद्धांतों पर आधारित है, परन्तु उन्हें विशेष रूप से इंटरनेट और वर्ल्ड वाइड वेब प्रणाली पर लागू करती है।

वेब अनुप्रयोग सुरक्षा उपकरण एचटीटीपी ट्रैफ़िक के साथ काम करने के लिए विशेष उपकरण हैं, उदाहरण के लिए, वेब अनुप्रयोग फ़ायरवॉल

सुरक्षा थ्रेट
विवृत वेब अनुप्रयोग सुरक्षा परियोजना (ओडब्ल्यूएएसपी) निःशुल्क और विवृत संसाधन प्रदान करते है। इसका नेतृत्व ओडब्ल्यूएएसपी संस्था नामक एक गैर-लाभकारी संस्था द्वारा किया जाता है। ओडब्ल्यूएएसपी शीर्ष 10 - 2017 40 से अधिक सहयोगी संगठनों से संकलित व्यापक डेटा के आधार पर वर्तमान शोध के परिणाम हैं। इस डेटा ने 50,000 से अधिक अनुप्रयोगों में लगभग 2.3 मिलियन भेद्यता को प्रकाशित किया। ओडब्ल्यूएएसपी टॉप 10 - 2021 के अनुसार, दस सबसे महत्वपूर्ण वेब अनुप्रयोग सुरक्षा संकटों में सम्मिलित हैं:
 * 1) विच्छिन्न अभिगम नियंत्रण
 * 2) गूढ़लेखिकी विफलताएँ
 * 3) कोड अंतःक्षेप
 * 4) असुरक्षित डिजाइन
 * 5) सुरक्षा अनुचित कॉन्फ़िगरेशन
 * 6) सुभेद्य और अप्रचलित घटक
 * 7) अभिज्ञान और प्रमाणीकरण विफल
 * 8) सॉफ्टवेयर और डेटा अखंडता विफलता
 * 9) सुरक्षा लॉगिंग और अनुवीक्षण विफलता
 * 10) सर्वर-साइड अनुरोध जालसाजी (एसएसआरएफ)

सुरक्षा परीक्षण के लिए उपकरण
सुरक्षा परीक्षण तकनीकें अनुप्रयोगों में भेद्यता या सुरक्षा छिद्र के लिए परिमार्जन करती हैं। ये भेद्यताएं अनुप्रयोगों को शोषण (कंप्यूटर सुरक्षा) के लिए विवृत छोड़ देती हैं। आदर्श रूप से, सुरक्षा परीक्षण पूरे सॉफ्टवेयर विकास जीवन चक्र (एसडीएलसी) में लागू किया जाता है ताकि भेद्यता को समय पर और पूर्ण रूप से संबोधित किया जा सके।

अनुप्रयोगों में भेद्यता की अभिज्ञान करने के लिए कई प्रकार के स्वचालित उपकरण हैं। अनुप्रयोग भेद्यता की अभिज्ञान करने के लिए उपयोग की जाने वाली सामान्य उपकरण श्रेणियों में सम्मिलित हैं:
 * स्थैतिक अनुप्रयोग सुरक्षा परीक्षण (एसएएसटी) किसी अनुप्रयोग के विकास के समय सुरक्षा भेद्यता के लिए स्रोत कोड का विश्लेषण करते है। डीएएसटी की तुलना में, एसएएसटी का उपयोग तब भी किया जा सकता है जब अनुप्रयोग निष्पादन योग्य स्थिति में हो। चूंकि एसएएसटी के समीप पूर्ण स्रोत कोड तक पहुंच है, यह एक व्हाइट-बॉक्स दृष्टिकोण है। यह अधिक विस्तृत परिणाम प्राप्त कर सकते है परन्तु इसके परिणामस्वरूप कई अनुचित धनात्मक परिणाम हो सकते हैं जिन्हें हस्तचालन से सत्यापित करने की आवश्यकता होती है।
 * गतिशील अनुप्रयोग सुरक्षा परीक्षण (डीएएसटी, जिसे प्रायः भेद्यता क्रमवीक्षक कहा जाता है) वेबसाइटों को रिंगण और विश्लेषण करके स्वचालित रूप से भेद्यता का पता लगाता है। यह विधि अत्यधिक मापनीय, सरलता से एकीकृत और त्वरित है। डीएएसटी उपकरण निम्न-स्तरीय आक्षेपों जैसे अंतःक्षेप की कमियों से निपटने के लिए ठीक रूप से अनुकूल हैं, परन्तु उच्च-स्तरीय कमियों, जैसे तर्क या व्यावसायिक तर्क की कमियों का पता लगाने के लिए ठीक रूप से अनुकूल नहीं हैं। फज़िंग उपकरण का उपयोग सामान्यतः निविष्ट परीक्षण के लिए किया जाता है।
 * अन्योन्य क्रियात्मक अनुप्रयोग सुरक्षा परीक्षण (आईएएसटी) सॉफ्टवेयर उपकरण का उपयोग करके अनुप्रयोग का आकलन करते है। यह एसएएसटी और डीएएसटी दोनों विधियों की दृढ़ता के साथ-साथ कोड, एचटीटीपी ट्रैफिक, लाइब्रेरी सूचना, बैकएंड संपर्क और कॉन्फ़िगरेशन सूचना तक पहुंच प्रदान करते है। कुछ आईएएसटी उत्पादों को अनुप्रयोग पर आक्षेप करने की आवश्यकता होती है, जबकि अन्य का उपयोग सामान्य गुणवत्ता आश्वासन परीक्षण के समय किया जा सकता है।
 * कार्यावधि अनुप्रयोग आत्मरक्षा एक अनुप्रयोग कार्यावधि के भीतर अतिक्रमण का पता लगाने और रोकथाम प्रदान करने के लिए वर्तमान अनुप्रयोग को बढ़ाता है।
 * निर्भरता क्रमवीक्षक (जिसे सॉफ़्टवेयर संरचना विश्लेषण भी कहा जाता है) ज्ञात भेद्यता वाले सॉफ़्टवेयर घटकों के उपयोग का पता लगाने का प्रयास करते हैं। ये उपकरण या तो मांग सापेक्ष काम कर सकते हैं, उदाहरण के लिए, स्रोत कोड निर्माण प्रक्रिया के समय या समय-समय पर।
 * अमूर्तता अधिक जटिल वस्तुओं को कम जटिल बनाने का विचार है।

सुरक्षा मानक और नियम

 * सीईआरटी सी कोडन मानक
 * आईएसओ/आईईसी 27034-1:2011 सूचना प्रौद्योगिकी — सुरक्षा तकनीक — अनुप्रयोग सुरक्षा — भाग 1: अवलोकन और अवधारणाएँ
 * आईएसओ/आईईसी टीआर 24772:2013 सूचना प्रौद्योगिकी - प्रोग्रामिंग भाषाएँ - भाषा चयन और उपयोग के माध्यम से प्रोग्रामिंग भाषाओं में भेद्यता से बचने के लिए निर्देशन
 * एनआईएसटी विशेष प्रकाशन 800-53
 * ओडब्ल्यूएएसपी एएसवीएस: वेब अनुप्रयोग सुरक्षा सत्यापन मानक

यह भी देखें

 * अनुप्रयोग सेवा संरचना (एएसए)
 * सामान्य भेद्यता की गणना
 * डाटा सुरक्षा
 * मोबाइल सुरक्षा
 * ओडब्ल्यूएएसपी
 * माइक्रोसॉफ्ट सुरक्षा विकास जीवनचक्र
 * प्रयोग करने योग्य सुरक्षा