چارچوب ارزیابی امنیت خودکار برنامه های کاربردی مبتنی بر وب

امروزه اطمینان از امنیت برنامه های کاربردی مبتنی بر وب مسأله ای اساسی برای تولیدکنندگان و همچنین مشتریان این برنامه ها است. سازمان های زیادی وجود دارند که برنامه های مبتنی بر وب را مورد ارزیابی امنیتی قرار داده و در صورت ایمن بودن به آنها گواهینامه ی امنیتی می دهند. در این مقاله چارچوبی ارائه شده است که تنها به تأیید ایمن بودن برنامه بسنده نمی کند، بلکه میزان ایمن بودن برنامه را با انتساب نمره ی امنیتی بین 0 تا 100 به آن مشخص می کند. چارچوب ارائه شده به طور خودکار برنامه ی تحت ارزیابی را مورد آزمون و بررسی امنیتی قرار می دهد. owasp استانداردی برای تأیید امنیتی برنامه های کاربردی مبتنی بروب (asvs) ارائه نموده است، که در این مقاله از asvs به عنوان پایه ی انجام بررسی و تأییدات امنیتی استفاده شده است. در این چارچوب با استفاده از پویشگرها، برنامه ی مبتنی بر وب به طور خودکار پویش می شود تا تأییدات امنیتی مشخص شده در asvs انجام گردد. در صورتی که هر یک از تأییدات امنیتی با موفقیت انجام نشود، مقداری از نمره ی نهایی امنیتی برنامه کسر می شود. اهمیت تمامی تأییدات امنیتی که باید انجام شود یکسان نیست و در صورت عدم انجام آنها میزان تهدیدات امنیتی که متوجه برنامه می شود به یک اندازه نمی باشد. برای مشخص نمودن وزن هر یک از تأییدات امنیتی در تعیین نمره ی نهایی، معیارهایی جهت تعیین وزن هر یک از آنها بر اساس معیارهای cvss ارائه شده است. با اندازه گیری این معیارها میزان اهمیت هر یک از تأییدات و وزن آنها را در تعیین نمره ی نهایی مشخص می شود. بر اساس تأییدات امنیتی انجام شده و وزن هر یک، سطح امنیت برنامه ی تحت ارزیابی با نمره ی انتساب داده شده به آن مشخص می گردد.