אינטרנט ישראל
  • ראשי
  • אודות רן בר-זיק ואינטרנט ישראל
  • ערוץ טלגרם
  • מסטודון
  • התחברו אלי בטוויטר
  • התחברו אלי בלינקדאין
  • ספר ג'אווהסקריפט
  • ראשי
  • אודות רן בר-זיק ואינטרנט ישראל
  • ערוץ טלגרם
  • מסטודון
  • התחברו אלי בטוויטר
  • התחברו אלי בלינקדאין
  • ספר ג'אווהסקריפט
ראשי » חדשות אינטרנט » מערך הסייבר הוציא מדריך לפיתוח מאובטח – חובת קריאה

מערך הסייבר הוציא מדריך לפיתוח מאובטח – חובת קריאה

רן בר-זיק מאי 3, 2020 7:07 am 3 תגובות

אחד מהמסמכים החשובים ביותר שפורסמו על ידי מערך הסייבר וחובה לכל ראש צוות, מנהל פיתוח ומתכנת.

כדאי תמיד להשאר מעודכנים! אם יש לכם טלגרם, בדקו את ערוץ הטלגרם של האתר שבו אני מעדכן על פוסטים חדשים 🙂 אם אתם רוצים ללמוד תכנות באופן מקיף ומסודר, הצטרפו לאלפי הלומדים בפרויקט "ללמוד ג'אווהסקריפט בעברית" שמלמד לתכנת בג'אווהסקריפט, ב-Node.js ובריאקט וגם מלמד על תרומה לקוד פתוח. גם ספרים דיגיטליים וגם ספרים מודפסים. בשיתוף הקריה האקדמית אונו ובתמיכת חברות מובילות כגון Wix, Outbrain, Elementor, Iron Source, Chegg, Really Good ועוד.

באבטחת מידע יש מושג חשוב שנקרא "פיתוח מאובטח". מה זה פיתוח מאובטח? בגדול – זה שם כולל למגוון מתודות ודרכים לפתח תוכנה באופן בטוח מהשורה הראשונה ולשלב את אבטחת המידע בפיתוח.

במשך הרבה שנים התייחסתי לאבטחת מידע באופן חשדני או, לאחר כמה שנים, בתור משהו שמנחיתים עלי מייד אחרי שאני מפתח. ממש כמו QA. כלומר אני מפתח תוכנה, אפליקציה, אתר או ווטאבר ובדיוק כמו שה-QA הידני בא ומדווח לי שהכפתור סגול במקום כחול וכשאני לוחץ עליו המחשב נשרף, ככה בא אלי איש האבטחה ובוכה לי שיש SQL injection ואז אני צריך לתקן. כלומר אבטחה זה תהליך חיצוני (ומעכב) לפיתוח.

אבל זה לא אמור להיות ככה ובשנים האחרונות זה לא ככה. בדיוק בשביל זה נכנס פיתוח מאובטח. תחשבו למשל על lint (שאני ממש ממש ממש ממש ממש מקווה שיש לכם בכל תוכנה שאתם מפתחים). הוא יכול להתריע על בעיות אבטחה ולמנוע, ממש בשעת כתיבת הקוד, בעיות. PHPCS למשל, יכול להתריע אם משתמשים במשתנים בלי ולידציה ואם מדפיסים משתנים ללא סניטציה. אפשר לשלב לינטרים כאלו כבר ב-IDE של המפתח וכמובן בבילד עצמו. כלי כזה ימנע ממש בעיות בקוד בשלב הכתיבה:

כמובן שפיתוח מאובטח זה יותר מלינטרים, או סריקה של חבילות תוכנה שמשתמשים בהן (כמו סניק למשל) או בדיקות אבטחה אוטומטיות. יש המון הליכים – מהדרכת מפתחים (שגם זה חשוב!) ועד ביצוע code review.

מערך הסייבר הלאומי הוא מערך שאמור להיות מוכר היטב. אנו מכירים אותו בעיקר בתור הגוף שאליו אפשר לדווח עם פרצות בגופים תשתיתיים, בטחוניים וחברות גדולות, אבל יש לו עוד תפקיד במניעה – למנוע מראש מצבים של חורי אבטחה. צעד חשוב מאוד, לדעתי, שהמערך צעד הוא בפרסום מדריך ארוך ומפורט לפיתוח מאובטח. המדריך פורסם פה: https://www.gov.il/he/departments/general/securedevelopment ויש בו הסברים לבניית תהליך נכון של פיתוח מאובטח.

מערך הסייבר התייעץ עם לא מעט מומחים וגורמים אזרחיים על מנת ליצור את המדריך (גילוי נאות – גם איתי) ועד כמה שאני יודע זה המדריך המקיף והעדכני ביותר בעברית. אני ממליץ לכל מפתח לעבור עליו ובטח ובטח לכל מנהל פיתוח או מנהל אבטחה.

צילום מסך מתוך מדריך הפיתוח המאובטח

כפי שאתם יודעים, מצאתי בחיי לא מעט חולשות אבטחה. רובן מטופשות. עבודה לפי המדריך הזה, עם התיאוריה שיש בו, יכולה בהחלט למנוע את כל החולשות שאני מצאתי. עצה שלי? שווה מאוד לקרוא ולפעול לפי מה שכתוב בו.

"כשארגונים נשאלים על פרצות מחרידות התגובה הכמעט קבועה היא "אתרנו נבדק על ידי מיטב המומחים". מעכשיו אפשר גם לשאול אותם…

פורסם על ידי ‏מערך הסייבר הלאומי‏ ב- יום רביעי, 29 באפריל 2020
כדאי תמיד להשאר מעודכנים! אם יש לכם טלגרם, בדקו את ערוץ הטלגרם של האתר שבו אני מעדכן על פוסטים חדשים 🙂 אם אתם רוצים ללמוד תכנות באופן מקיף ומסודר, הצטרפו לאלפי הלומדים בפרויקט "ללמוד ג'אווהסקריפט בעברית" שמלמד לתכנת בג'אווהסקריפט, ב-Node.js ובריאקט וגם מלמד על תרומה לקוד פתוח. גם ספרים דיגיטליים וגם ספרים מודפסים. בשיתוף הקריה האקדמית אונו ובתמיכת חברות מובילות כגון Wix, Outbrain, Elementor, Iron Source, Chegg, Really Good ועוד.
אבטחת מידע

3 תגובות

  1. נועם הגב יוני 18, 2020 בשעה 11:28 pm

    נפלא

  2. עידו הגב מאי 2, 2021 בשעה 2:02 am

    מה הקטע של המלצה על סניק בכל פוסט שלך? פעם היו טובים. היום יש כבר כלים מהירים ומדוייקים יותר מהם

    • נועם הגב דצמבר 19, 2022 בשעה 8:37 am

      קוראים לזה פרנסה סמויה

השארת תגובה

ביטול

ללמוד ג'אווהסקריפט בעברית

ללמוד לתכנת ג'אווהסקריפט בעברית שגייס יותר משלוש מאות אלף שקל ולמעלה מ-2000 תומכים - בואו ללמוד עכשיו איך לתכנת.

רשימת הנושאים
  • מדריכים
    • ריאקט
    • טייפסקריפט
    • ECMAScript 6
    • ES20XX
    • Node.js
    • Express
    • רספברי פיי
    • Babel
    • docker
    • MongoDB
    • Git
    • לימוד MySQL
    • SASS
    • jQuery
    • CSS3
    • HTML 5
    • SVN
    • LESS
  • פיתוח אינטרנט
    • פתרונות ומאמרים על פיתוח אינטרנט
    • jQuery Scripts
    • jQuery למתקדמים
    • יסודות בתכנות
    • נגישות אינטרנט
  • חדשות אינטרנט
  • מידע כללי על אינטרנט
    • רשת האינטרנט
    • בניית אתרי אינטרנט
  • rss logo

    לכל המאמרים

    לכל המאמרים שפורסמו באינטרנט ישראל משנת 2008 ועד עכשיו.
  • rss logo

    RSS Feed

    משתמשים בקורא RSS? אם כן, עקבו אחרי אינטרנט ישראל באמצעות פיד ה-RSS!
    מה זה RSS?
  • Twitter logo

    עקבו אחרי בטוויטר

    בחשבון הטוויטר שלי אני מפרסם עדכונים מהירים על חדשות בתחום התכנות והיזמות, התרעות על מצבי חירום ורכילות בוערת על תחום הווב.
    מה זה טוויטר?
  • facebook like image

    ערוץ הטלגרם של אינטרנט ישראל

    בערוץ הטלגרם של אינטרנט ישראל אני מפרסם את הפוסטים של באתר וכן עדכונים טכנולוגיים נוספים.
    מה זה טלגרם?
  • github logo

    הפרויקטים שלי בגיטהאב

    הפרויקטים שאני כותב ושוחררו לציבור ברישיון קוד פתוח נמצאים ברובם בגיטהאב.
חיפוש

כל הזכויות שמורות לרן בר-זיק ולאינטרנט ישראל | מדיניות הפרטיות של אתר אינטרנט ישראל | אתר אינטרנט ישראל נגיש לפי תקן WCAG 2.0 AA | הצהרת הנגישות של האתר | אבטחת מידע ודיווח על בעיית אבטחת מידע

גלילה לראש העמוד