iT邦幫忙

2024 iThome 鐵人賽

DAY 14
0

資安是我們開發者一定要注意的議題,程式要寫對以外,安全性也是重要的一環,除了一般的帳密安全,開發軟體時,也不要將secret寫在code之中。

今天我們來了解Security相關的鐵三角以及OWASP。

CIA

CIA中央情報局!?

「CIA 資訊安全三要素」中的三個字母代表機密性、完整性和可用性。CIA 資訊安全三要素是常見的模型,構成安全系統開發的基礎。它們是用來尋找弱點和找出建立解決方案的方法。

Confidentiality (保密性)

確保只有授權的人員能夠訪問和查看資訊,保密性通常通過加密,或是access control和身份驗證等措施來實現。
有了保密性,我們可以確保未授權的人不能看到機密資料,增加與客戶的信任感XD
另外有些地方需要認證,例如銀行之類的,客戶的機密資料可不能隨便外流。

完整性(Integrity)

確保資訊在儲存或傳輸的過程中沒有被未經授權的修改或破壞,完整性通過校驗和數位簽章等方法來維護。
有了完整性,我們可以確保這資料一定是可信的,保護系統的穩定運行,不會因為假資料造成系統的運作影響。

可用性(Availability)

確保資訊和相關的系統在需要時是可訪問和可用的。可用性通常通過備份、恢復計劃和分散式系統設計來保障。
有了可用性,我們可以確保使用者可以不用擔心他要使用時系統會無法用,他可以安心的使用我們的系統,看使用需求,通常會做到99%up,不然就算有了保密性與完整性,無法使用系統的資料還是跟沒有一樣XD

可用性 最高的無法使用程度 (每年) 應用程式類別
99% 3 天 15 小時 批次處理、資料擷取、傳輸和載入任務
99.9% 8 小時 45 分鐘 知識管理、專案追蹤等內部工具
99.95% 4 小時 22 分鐘 線上商務、銷售點
99.99% 52 分鐘 影片交付、廣播工作負載
99.999% 5 分鐘 ATM 交易、電信工作負載

來自:https://docs.aws.amazon.com/zh_tw/wellarchitected/latest/reliability-pillar/availability.html

The Open Web Application Security Project(OWASP)

是一個全球性的非營利組織,致力於提升軟體安全性。這個專案對於關注網路安全的人來說,如同指南針一般,指引我們在安全領域不迷失方向XD

OWASP最著名的就是那份OWASP十大漏洞清單(OWASP Top Ten)

這個清單列出了當前最常見、最危險的web app安全漏洞,並且每隔幾年就會更新一次。對於開發者來說,這份清單就是一本必讀手冊XD,因為它告訴我們在設計和開發應用程式時,哪些地方容易出現問題,哪些地方需要特別小心,知道了top ten後,我們就可以防止不少常見的攻擊了。

總結

今天我們多了解一點的資安知識,明天我們要來看一下OWASP top ten是甚麼XD

reference

https://www.fortinet.com/tw/resources/cyberglossary/cia-triad
https://www.cloudflare.com/zh-tw/learning/security/threats/owasp-top-10/


上一篇
Day 13 Caching
下一篇
Day 15 OWASP Top Ten
系列文
Backend Developer的學習Roadmap30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言