Akıllı telefon uygulaması kullanıcılarından veri toplamaya izin vermelerini isteyen iletişim kutularının çoğu, en az bir belirsiz şema, yani manipülatif UI tasarımı içerir. Bu, ilk kez bu yılki Alman OWASP Günü’nde sunulacak olan, iOS ve Android uygulamaları üzerine yapılan geniş çaplı bir çalışmanın sonuçlarından biridir. Örneğin, bu iletişim kutuları, en görünür düğme veri toplama iznini içerecek şekilde programlanmıştır. Devre dışı bırakma özelliğini yeterince hızlı bulamadığı için zaten cesareti kırılmış olan kullanıcı, genellikle veri toplamaya ve paylaşmaya izin verir.
Çalışma aynı zamanda bazı mobil uygulamaların kullanıcılara yalnızca bir seçenek sunduğunu gösteriyor: veri toplamayı devre dışı bırakırlarsa uygulama kapatılacak. Braunschweig Teknik Üniversitesi Uygulama Güvenliği Enstitüsü’nde doktora öğrencisi olan Simon Koch’un etrafındaki yazarlar, bu tür veri koruma diyaloglarının tasarım kararlarını ve en yaygın karanlık kalıpları sunuyor. Çalışma zaten çevrimiçi olarak indirilebilir. Yazarlar, bu yılki Alman OWASP Günü’ndeki konuşmalarında, uygulamaların bazen kullanıcıların gizliliğini ne kadar derinden ihlal ettiğini de gösteriyor.
Tedarik zinciri sorunu için pratik kılavuzlar
Diğer bir önemli nokta ise yazılım tedarik zincirindeki risklere ilişkin sunumdur. Federal Sosyal Güvenlik Dairesi yazılım geliştirme başkanı ve Bonn Java Kullanıcı Grubu’nun kurucusu Konuşmacı Stefan Kaps, Log4j güvenlik açığından çıkarılan bulguları ve çıkarılan dersleri özetliyor.
Ayrıca, geliştiricilerin yazılımları için bir yönerge kitapçığı oluşturmak ve bu eylemi oluşturma veya devreye alma sürecine (DevSecOps) entegre etmek için hangi belirtimleri, standartları ve araçları kullanabileceğini gösterir. Ayrıca, çeşitli ürünlerdeki bu bilgileri güvenlik açıklarına karşı merkezi bir noktada denetlemek için kullanılabilecek bir araç sunar ve bu aracın, yazılım tedarik zincirindeki riskleri önceden tespit etmeye yönelik Sürekli Yazılım Bileşimi Analizini (SCA) nasıl desteklediğini gösterir.
Bağımsız ve kar amacı gütmeyen
Bu yılki Alman OWASP Günü (GOD 2023), 31 Mayıs 2023’te Frankfurt am Main’deki Frankfurt School of Finance and Management’ta gerçekleşecek. OWASP, Açık Dünya Çapında Uygulama Güvenliği Projesi anlamına gelir ve uygulama güvenliğini geliştirmeyi amaçlayan kar amacı gütmeyen bir kuruluştur. Proje gönüllüleri düzenli olarak OWASP Top 10 veya Web Security Testing Guide (WSTG) gibi fiili standartları yayınlar.
Alman Bölümünün Alman topluluğu, yıllardır güvenlik uzmanları, geliştiriciler, BT güvenlik yöneticileri ve diğer BT uzmanları için bağımsız, ticari olmayan bir yıllık konferans düzenliyor. Sponsorlar tarafından ödenen ders yoktur.
(senin)
Haberin Sonu
Çalışma aynı zamanda bazı mobil uygulamaların kullanıcılara yalnızca bir seçenek sunduğunu gösteriyor: veri toplamayı devre dışı bırakırlarsa uygulama kapatılacak. Braunschweig Teknik Üniversitesi Uygulama Güvenliği Enstitüsü’nde doktora öğrencisi olan Simon Koch’un etrafındaki yazarlar, bu tür veri koruma diyaloglarının tasarım kararlarını ve en yaygın karanlık kalıpları sunuyor. Çalışma zaten çevrimiçi olarak indirilebilir. Yazarlar, bu yılki Alman OWASP Günü’ndeki konuşmalarında, uygulamaların bazen kullanıcıların gizliliğini ne kadar derinden ihlal ettiğini de gösteriyor.
Tedarik zinciri sorunu için pratik kılavuzlar
Diğer bir önemli nokta ise yazılım tedarik zincirindeki risklere ilişkin sunumdur. Federal Sosyal Güvenlik Dairesi yazılım geliştirme başkanı ve Bonn Java Kullanıcı Grubu’nun kurucusu Konuşmacı Stefan Kaps, Log4j güvenlik açığından çıkarılan bulguları ve çıkarılan dersleri özetliyor.
Ayrıca, geliştiricilerin yazılımları için bir yönerge kitapçığı oluşturmak ve bu eylemi oluşturma veya devreye alma sürecine (DevSecOps) entegre etmek için hangi belirtimleri, standartları ve araçları kullanabileceğini gösterir. Ayrıca, çeşitli ürünlerdeki bu bilgileri güvenlik açıklarına karşı merkezi bir noktada denetlemek için kullanılabilecek bir araç sunar ve bu aracın, yazılım tedarik zincirindeki riskleri önceden tespit etmeye yönelik Sürekli Yazılım Bileşimi Analizini (SCA) nasıl desteklediğini gösterir.
Bağımsız ve kar amacı gütmeyen
Bu yılki Alman OWASP Günü (GOD 2023), 31 Mayıs 2023’te Frankfurt am Main’deki Frankfurt School of Finance and Management’ta gerçekleşecek. OWASP, Açık Dünya Çapında Uygulama Güvenliği Projesi anlamına gelir ve uygulama güvenliğini geliştirmeyi amaçlayan kar amacı gütmeyen bir kuruluştur. Proje gönüllüleri düzenli olarak OWASP Top 10 veya Web Security Testing Guide (WSTG) gibi fiili standartları yayınlar.
Alman Bölümünün Alman topluluğu, yıllardır güvenlik uzmanları, geliştiriciler, BT güvenlik yöneticileri ve diğer BT uzmanları için bağımsız, ticari olmayan bir yıllık konferans düzenliyor. Sponsorlar tarafından ödenen ders yoktur.
(senin)
Haberin Sonu