Nõrkuste otsing (vulnerability scan)

Läbistustestimine / eetiline häkkimine

Staatiline analüüs

Turvaaudit

Koodi ülevaatus, stiilikontrollid ja saladuste lekke kontroll

Läbistustest

Ühiktestid (unit tests)

Turvaline evitus (deployment)

Genereerida uus seansi identifikaator sisselogimisel, muuta see kehtetuks väljalogimisel, piirata selle kehtivusaega ja kaitsta seda (nt küpsistele HttpOnly/Secure atribuudid, mitte hoida seansivõtit URL-is).

Lubada sama seansi identifikaatori kasutamist mitmes seadmes korraga.

Kasutada lühikesi ja lihtsaid seansi identifikaatoreid.

Pikendada seansside kehtivusaega mitme päevani, et parandada kasutajamugavust.

See põhjustab rakenduse aeglast tööd, kuna logisid ei kirjutata piisavalt tihti.

See rikub GDPR-i nõudeid, kuna kasutajate tegevust ei salvestata.

See muudab arendajatel vigade otsimise keerulisemaks, kuid ei mõjuta otseselt turvalisust.

See takistab turvaintsidentide õigeaegset avastamist, uurimist ja neile reageerimist, kuna puuduvad tõendid toimunu kohta.

Usaldades AI poolt genereeritud paketi nimesid.

Laadides tarkvara alla esimesest ettejuhtuvast allikast.

Kontrollides alati tarkvara või komponendi digitaalallkirja või räsiväärtust enne selle paigaldamist või kasutamist.

Usaldades allalaadimist, kui see toimub HTTPS kaudu.

Deaktiveerides automaatsed uuendused, et vältida ootamatusi.

Minimeerida tundlike andmete hulka, mida säilitatakse või edastatakse, ning krüpteerida need nii transpordil (TLS) kui ka salvestatuna, kasutades tugevaid ja ajakohaseid algoritme.

Kasutada kõvakodeeritud krüptovõtmeid, et neid oleks lihtne hallata.

Kasutada ainult ühesuunalist räsifunktsiooni (nt SHA-1) andmete kaitsmiseks.

Salvestada tundlikud andmed alati avatekstina, et tagada kiire ligipääs.

See takistab CI/CD protsessi automatiseerimist.

'Latest' tähisega paketid on tavaliselt kallimad.

See võib ootamatult tuua sisse tagasiühildumatuid muudatusi või isegi turvanõrkusi, kuna versioon pole fikseeritud.

'Latest' versioon on alati ebastabiilne beetaversioon.

Kasutades väga pikki ja keerulisi seansi ID-sid.

Lubades seansse ainult kindlatelt IP-aadressidelt.

Nõudes kasutajalt parooli uuesti sisestamist iga tundliku tegevuse puhul.

Genereerides kasutajale alati uue seansi identifikaatori kohe pärast edukat autentimist ja muutes vana kehtetuks.

Rakenduse lähtekoodi salajas hoidmine.

Rakenduse jõudluse testimine, kulukate operatsioonide piiramine (nt rate limiting) ja infrastruktuuri skaleerimine.

Kasutajate arvu piiramine, kes saavad rakendust korraga kasutada.

Veebiserveri logide sagedane kustutamine.

Sisse- ja väljalogimisi (sh ebaõnnestunud katseid), volituste kontrolle ja muudatusi ning olulisi sisendi valideerimise vigu.

Kasutajate hiireliigutusi ja klahvivajutusi.

Ainult rakenduse jõudlusnäitajaid.

Ainult edukaid kasutajate tegevusi.