Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Kaynak Kod Analizi Metodolojisi Alper Başaran alper.basaran@owasp.org Ocak 2017
OWASP Nedir? •  ...kar amacı gütmeyen bir kuruluş •  ...yazılım güvenliği odaklı kar amacı gütmeyen bir kuruluş •  Mar...
OWASP Ankara
Kaynak Kod Analizi
Kaynak Kod Analizi •  GelişMrme sürecinde uygulama güvenliğine en çok etkisi olan çalışma •  Sızma testleri sırasında o...
Kaynak Koddaki Zafiyetler •  MITRE 800 civarında uygulama zafiyeM kategorisi belirlemişMr •  Yazılım gelişMrenlerin çok a...
Kaynak Kod Analizi Neden Yapılır? •  Uygulama tasarım ve yazımından kaynaklı güvenlik açıklarını kök nedenleriyle birlik...
Kaynak Kod Analizinin Faydaları
Kaynak Kod Analizinin Faydaları
Kaynak Kod Analizi Metodolojisi •  Süreç oluşturulurkn dikkat edilmesi gerkenler; – Risk – Amaç ve Kapsam – Kod sa^rla...
Kaynak Kod Analizi Ne Zaman Yapılmalı? •  Commit öncesi •  Kaynak kodda değişiklik yapıldığında
Risk Değerlendirmesi
Kod Modülünde Risk Seviyesinin Belirlenmesi
Kaynak Kod Analizi Çözümlerinin Faydaları
Kaynak Kod Analizi Çözümlerinin Dezavantajları
Uygulama Tehdit Modelleme •  Dış bağlan^lar •  Giriş noktaları (Adack Vector) – Girdiler – Veri Akışı – İşlemler
Inputs •  Browser input •  Cookies •  Property files •  External processes •  Data feeds •  Command line parameters ...
Data Flow Analysis •  Değişknler nasıl belirleniyor? •  Nasıl kullanılıyor? •  İşlem analizi – Kimlik doğrulama – Yet...
STRIDE tehdit modelleme
OWASP kaynak kod analizi metodolojisi
Upcoming SlideShare
Loading in …5
×

OWASP kaynak kod analizi metodolojisi

1,626 views

Published on

OWASP Ankara tarafından düzenlenen ve OWASP tarafından yayınlanan kaynak kod metodolojisi dokümanını el aldığımız webinarın sunumudur.

Published in: Technology
no profile picture user

  • Login to see the comments

Show More

OWASP kaynak kod analizi metodolojisi

  1. 1. Kaynak Kod Analizi Metodolojisi Alper Başaran alper.basaran@owasp.org Ocak 2017
  2. 2. OWASP Nedir? •  ...kar amacı gütmeyen bir kuruluş •  ...yazılım güvenliği odaklı kar amacı gütmeyen bir kuruluş •  Marka bağımsız yazılım güvenliği odaklı kar amacı gütmeyen bir kuruluş
  3. 3. OWASP Ankara
  4. 4. Kaynak Kod Analizi
  5. 5. Kaynak Kod Analizi •  GelişMrme sürecinde uygulama güvenliğine en çok etkisi olan çalışma •  Sızma testleri sırasında ortaya çıkan açıkları kapatmak daha zor/maliyetli/imkansız olabilir •  Uygulamayı “güvenlik bakış açısıyla” ve “içeriden” değerlendirme imkanı verir
  6. 6. Kaynak Koddaki Zafiyetler •  MITRE 800 civarında uygulama zafiyeM kategorisi belirlemişMr •  Yazılım gelişMrenlerin çok azı bu zafiyetler konusunda bilgi sahibidir •  Proje içerisinde güvenliğe gerekMği kadar zaman ayırılmayabilir •  Çalışan yazılımlarda “iyi kod” ile “kötü kod” ayrımı yapmak mümkün olmayabilir
  7. 7. Kaynak Kod Analizi Neden Yapılır? •  Uygulama tasarım ve yazımından kaynaklı güvenlik açıklarını kök nedenleriyle birlikte ortaya çıkar^r
  8. 8. Kaynak Kod Analizinin Faydaları
  9. 9. Kaynak Kod Analizinin Faydaları
  10. 10. Kaynak Kod Analizi Metodolojisi •  Süreç oluşturulurkn dikkat edilmesi gerkenler; – Risk – Amaç ve Kapsam – Kod sa^rları – Programlama dili – Kaynak ve biMş tarihi
  11. 11. Kaynak Kod Analizi Ne Zaman Yapılmalı? •  Commit öncesi •  Kaynak kodda değişiklik yapıldığında
  12. 12. Risk Değerlendirmesi
  13. 13. Kod Modülünde Risk Seviyesinin Belirlenmesi
  14. 14. Kaynak Kod Analizi Çözümlerinin Faydaları
  15. 15. Kaynak Kod Analizi Çözümlerinin Dezavantajları
  16. 16. Uygulama Tehdit Modelleme •  Dış bağlan^lar •  Giriş noktaları (Adack Vector) – Girdiler – Veri Akışı – İşlemler
  17. 17. Inputs •  Browser input •  Cookies •  Property files •  External processes •  Data feeds •  Command line parameters •  Environment variables
  18. 18. Data Flow Analysis •  Değişknler nasıl belirleniyor? •  Nasıl kullanılıyor? •  İşlem analizi – Kimlik doğrulama – Yetkilendirme – Şifreleme (at rest & transit) – Hataların ele alınması – Loglama
  19. 19. STRIDE tehdit modelleme

×