Laborator 10: Evaluare de Securitate – Audit și Remediere
Obiective
- Înțelegerea procesului de audit de securitate și importanța sa
- Identificarea vulnerabilităților critice în aplicație prin scanări automate și analize manuale
- Aplicarea măsurilor de remediere pentru riscurile identificate
- Integrarea proceselor de audit în dezvoltarea software
Cerințe tehnologice
- Scanare automată: OWASP ZAP, Trivy, Grype, Bandit
- Analiză statică a codului: SonarQube, Semgrep
- Analiză manuală: OWASP Top 10, Common Weakness Enumeration (CWE)
- Fixare vulnerabilități: Actualizare dependențe, aplicare patch-uri, hardening
- CI/CD Security: Dependabot, GitHub Security Alerts
Funcționalități
1. Realizarea unui audit de securitate
- Scanarea aplicației pentru vulnerabilități utilizând OWASP ZAP și Trivy
- Analiza codului sursă pentru probleme de securitate cu SonarQube sau Semgrep
- Identificarea componentelor nesigure (dependințe vechi, configurări incorecte)
2. Clasificarea și prioritizarea riscurilor
- Maparea vulnerabilităților identificate conform OWASP Top 10 și CWE
- Prioritizarea problemelor în funcție de impact și probabilitate
- Crearea unui raport de securitate cu riscurile și recomandările de fixare
3. Implementarea măsurilor de remediere
- Corectarea codului vulnerabil și a configurațiilor nesigure
- Actualizarea și securizarea dependențelor software
- Aplicarea măsurilor de hardening (principiul Least Privilege, protecție API)
4. Integrarea auditului în procesul de dezvoltare
- Configurarea analizelor automate în pipeline-ul CI/CD
- Monitorizarea continuă a vulnerabilităților cu GitHub Security Alerts
- Crearea unui proces de Security Review înainte de lansarea în producție
Evaluare
- Realizarea unui audit de securitate detaliat (30%)
- Clasificarea și prioritizarea vulnerabilităților în funcție de impact (20%)
- Aplicarea măsurilor de remediere și verificarea fixurilor (30%)
- Integrarea auditului în fluxul de dezvoltare (20%)
Resurse suplimentare
- [https://owasp.org/www-project-zap/ OWASP ZAP - Web Security Scanner]
- [https://owasp.org/www-project-top-ten/ OWASP Top 10 Security Risks]
- [https://sonarqube.org SonarQube - Static Code Analysis]
- [https://github.com/aquasecurity/trivy Trivy - Vulnerability Scanner]
- [https://cwe.mitre.org Common Weakness Enumeration (CWE)]
