Table of Contents
Laborator 10: Evaluare de Securitate – Audit și Remediere
Obiective
Cerințe tehnologice
Funcționalități
1. Realizarea unui audit de securitate
2. Clasificarea și prioritizarea riscurilor
3. Implementarea măsurilor de remediere
4. Integrarea auditului în procesul de dezvoltare
Evaluare
Resurse suplimentare
Laborator 10: Evaluare de Securitate – Audit și Remediere
Obiective
Înțelegerea procesului de
audit de securitate
și importanța sa
Identificarea vulnerabilităților critice în aplicație prin scanări automate și analize manuale
Aplicarea măsurilor de remediere pentru riscurile identificate
Integrarea proceselor de audit în dezvoltarea software
Cerințe tehnologice
Scanare automată
: OWASP ZAP, Trivy, Grype, Bandit
Analiză statică a codului
: SonarQube, Semgrep
Analiză manuală
: OWASP Top 10, Common Weakness Enumeration (CWE)
Fixare vulnerabilități
: Actualizare dependențe, aplicare patch-uri, hardening
CI/CD Security
: Dependabot, GitHub Security Alerts
Funcționalități
1. Realizarea unui audit de securitate
Scanarea aplicației pentru vulnerabilități utilizând OWASP ZAP și Trivy
Analiza codului sursă pentru probleme de securitate cu SonarQube sau Semgrep
Identificarea componentelor nesigure (dependințe vechi, configurări incorecte)
2. Clasificarea și prioritizarea riscurilor
Maparea vulnerabilităților identificate conform
OWASP Top 10
și
CWE
Prioritizarea problemelor în funcție de impact și probabilitate
Crearea unui raport de securitate cu riscurile și recomandările de fixare
3. Implementarea măsurilor de remediere
Corectarea codului vulnerabil și a configurațiilor nesigure
Actualizarea și securizarea dependențelor software
Aplicarea măsurilor de hardening (principiul
Least Privilege
, protecție
API
)
4. Integrarea auditului în procesul de dezvoltare
Configurarea analizelor automate în pipeline-ul CI/CD
Monitorizarea continuă a vulnerabilităților cu GitHub Security Alerts
Crearea unui proces de
Security Review
înainte de lansarea în producție
Evaluare
Realizarea unui audit de securitate detaliat (30%)
Clasificarea și prioritizarea vulnerabilităților în funcție de impact (20%)
Aplicarea măsurilor de remediere și verificarea fixurilor (30%)
Integrarea auditului în fluxul de dezvoltare (20%)
Resurse suplimentare
[
https://owasp.org/www-project-zap/
OWASP ZAP - Web Security Scanner]
[
https://owasp.org/www-project-top-ten/
OWASP Top 10 Security Risks]
[
https://sonarqube.org
SonarQube - Static Code Analysis]
[
https://github.com/aquasecurity/trivy
Trivy - Vulnerability Scanner]
[
https://cwe.mitre.org
Common Weakness Enumeration (CWE)]