معايير تقييم أمن التطبيقات

أمن تطوير البرمجيات هو مصطلح عام يتمثل في إنشاء مجموعة من الاستراتيجيات التي تعمل بالتوافق والانسجام من أجل المساهمة في حماية البيانات الرقمية. الهدف من أمن البرمجيات هو ضمان سرية وتوافر وتمامية أصول المعلومات المتداولة بواسطة خدمات التطبيقات.

إن إدماج أمن التطبيقات ابتداء من مرحلة التصميم وطوال دورة حياة التطبيق يعتبر ضرورة حتمية . من خلال اتباع هذا النهج يمكن للمطورين الجزم بأن البرامج المُصممة تحترم أفضل ممارسات أمن نظم المعلومات. يعتبر تطبيق التدابير الأمنية بعد استعمال البرنامج أعلى تكلفة بكثير ولا يوفر عمومًا سوى حماية محدودة في مقابل الأمن المدمج منذ بداية التصميم. في سياق العمل المنجز سنة 2021 المتصل بممارسات أمن التطبيقات، تود المديرية العامة لأمن نظم المعلومات تعزيز الترتيبات المتاحة للإدارات والمؤسسات العمومية وكذا البنيات التحتية ذات الأهمية الحيوية العامة والخاصة لتمكينهم من القيام بإجراء الاختبارات الموصى بها خلال دورة التطوير وفقا لسياسات ومعايير تطوير البرامج المؤمنة المعمول بها.

وبهذا الصدد أعدت المديرية العامة لأمن نظم المعلومات معيارا لتقييم أمن التطبيقات يتضمن مجموعة من المتطلبات والاختبارات. استناداً إلى النسخة ASVS 4.0.3 التي نُشرت في أكتوبر 2021 من طرف مشروع أمان تطبيق الويب المفتوح (OWASP) ، يمكن أن يستخدم هذا المعيار لأغراض مختلفة ولا سيما لتحديد وبناء واختبار والتحقق من سلامة التطبيقات. ويعتمد هذا المعيار على مجموعة من المتطلبات والضوابط الأمنية التي تستند على الاختبارات الوظيفية وغير الوظيفية الوا جب تطبيقها أثناء تصميم وتطوير واختبار التطبيقات. كما ينطبق على جميع نماذج تطوير البرمجيات ويهدف إلى تحقيق هدفين رئيسيين هما:

  1. مساعدة المؤسسات على تطوير وصيانة تطبيقات امنة (دليل اختبار الوحدة ودليل الادماج الآلي ودليل التدريب على تطوير البرامج المؤمن).
  2. تمكين مقدمي خدمات الأمن ومروجي أدوات السلامة والمستهلكين من مواءمة احتياجاتهم مع العروض المقترحة (دليل اقتناء البرمجيات الآمنة) .

علاوة على ذلك، تم اختيار ثلاثة مستويات للفحص الأمني اذ يمثل المستوى الثالث أعلى مستوى من الضمان:

  •   المستوى الأول : هو مستوى منخفض من الضمان ويتضمن اختبارات الاختراق التقليدية. يمثل هذا المستوى الخطوة الأولى للتأمين التدريجي للتطبيقات. كما أنه يكفي أحيانا للتطبيقات التي لا تخزن و لا تعالج البيانات الحساسة وبالتالي لا تتطلب الضوابط الصارمة الواردة في المستويين 2 أو 3
  •  المستوى الثاني : ضروري بالنسبة للتطبيقات التي تعالج بيانات حساسة وتحتاج إلى حماية ملائمة. بشكل عام هذا هو المستوى الموصى به لمعظم التطبيقات.
  •  المستوى الثالث : موجه للتطبيقات الحرجة والتي تعالج بيانات جد حساسة وتتطلب مستوى عاليا من الثقة .

استناداً إلى تحليل المخاطر ومتطلبات العمل يجب على كل هيئة أن تحدد المستوى المناسب لها. بالإضافة إلى ذلك، من أجل إدارة قضايا السلامة بفعالية هناك حاجة ماسة لدمج التفكير في السلامة خلال جميع مراحل ال تطوير. هذا يقلل من خطر تجاهل المقتضيات الأمنية التي قد تكون مهمة من جهة، ومن ناحية أخرى لتجنب ارتكاب أخطاء فادحة في تصميم البرامج.

 

للتبليغ عن المحتويات الرقمية الإجرامية أوالعنيفة، أو تلك التي تتضمن تحريضا على المساس بسلامة الأفراد والجماعات، أو تنطوي على إشادة بالإرهاب أوالتحريض عليه، أو تمس بحقوق وحريات الأطفال. يرجى استعمال منصة التبليغ الرقمي التالية  : www.e-blagh.ma  

DGSSI2024 All rights reserved