如何检查 React 或 Node 应用程序是否经过 OWASP 证明?
How can I check if a React or Node app is OWASP proof?
我现在知道 OWASP 是什么,但我发现如何执行检查应用程序(由 React 和 Node 制成)是否为 OWASP 证明的任务太模糊了。我阅读了 the top 10 security risks,我想知道是否有任何分步指南或一些软件可以帮助我发现任何弱点。任何对完成此检查的开发人员故事的引用都将不胜感激。
有 vulnerability scanners or package security scanners 等工具可以对此进行某种自动化。但总的来说,没有也不可能有任何程序可以告诉您某个程序是否具有前 10 大安全风险中的任何一个或全部。或者,您可能需要的任何一般 属性。
所以自动工具是个好主意,并且有很多托管且易于使用的工具。但作为一名工程师,了解代码及其作用是最重要的。
OWASP top 10 并不旨在成为一个标准,请阅读 Introduction of the document carefully. Building a good, secure software is hard - the top 10 is a good start, but you should always remember that it's only a start. Building a good, secure development lifecycle is what you're aiming for, and for that projects like OWASP SAMM or OWASP ASVS 可以提供帮助。如果您的工作中有安全团队 - 联系他们并寻求帮助。如果您没有 - 我和 AppSec 社区的许多其他人很乐意帮助您开始。
我现在知道 OWASP 是什么,但我发现如何执行检查应用程序(由 React 和 Node 制成)是否为 OWASP 证明的任务太模糊了。我阅读了 the top 10 security risks,我想知道是否有任何分步指南或一些软件可以帮助我发现任何弱点。任何对完成此检查的开发人员故事的引用都将不胜感激。
有 vulnerability scanners or package security scanners 等工具可以对此进行某种自动化。但总的来说,没有也不可能有任何程序可以告诉您某个程序是否具有前 10 大安全风险中的任何一个或全部。或者,您可能需要的任何一般 属性。
所以自动工具是个好主意,并且有很多托管且易于使用的工具。但作为一名工程师,了解代码及其作用是最重要的。
OWASP top 10 并不旨在成为一个标准,请阅读 Introduction of the document carefully. Building a good, secure software is hard - the top 10 is a good start, but you should always remember that it's only a start. Building a good, secure development lifecycle is what you're aiming for, and for that projects like OWASP SAMM or OWASP ASVS 可以提供帮助。如果您的工作中有安全团队 - 联系他们并寻求帮助。如果您没有 - 我和 AppSec 社区的许多其他人很乐意帮助您开始。