我现在知道OWASP是什么,但我发现如何执行检查应用程序(由React和Node构成)是否是OWASP证明的任务太模糊了。我读到了the top 10 security risks,我想知道是否有任何分步指南或某些软件可以帮助我发现任何弱点。任何对完成此项检查的开发人员故事的引用都将不胜感激。
答案 0 :(得分:0)
vulnerability scanners或package security scanners之类的工具会对此进行某种自动化。但总的来说,没有任何程序可以告诉您某个程序是否具有前十大安全风险中的任何一个或全部。或者,您可能想要的任何一般财产。
所以自动工具是一个好主意,并且有一堆托管且易于使用的工具。但是,作为工程师,了解代码及其作用是最重要的事情。
答案 1 :(得分:0)
OWASP前10名并非旨在成为标准,请仔细阅读文档的Introduction。建立一个好的,安全的软件很难 - 前十名是一个良好的开端,但你应该永远记住,这只是一个开始。建立一个良好,安全的开发生命周期是您的目标,并且OWASP SAMM或OWASP ASVS等项目可以提供帮助。如果您的工作中有安全团队 - 请与他们联系并寻求帮助。如果您没有 - 我和AppSec社区的其他许多人都愿意帮助您入门。