Tətbiq təhlükəsizliyi — proqram təminatının, mobil tətbiqlərin və veb tətbiqlərin məlumatlarının və sistemlərinin qorunması üçün nəzərdə tutulmuş bir yanaşmadır.[1][2] Bu sahə, tətbiqlərin inkişafından, yerləşdirilməsindən və idarə olunmasından əvvəl, zamanında və sonra müxtəlif təhlükəsizlik tədbirlərinin görülməsini əhatə edir. Tətbiq təhlükəsizliyi, məlumatların məxfiliyini, bütövlüyünü və əlçatanlığını təmin etməyə yönəlmişdir.[3]
Əsas məqsədləri
Məlumatların qorunması — tətbiqlərdə istifadə olunan məlumatların (şəxsi, maliyyə, iş) qorunması, məlumatların izinsiz əldə olunmasından, dəyişdirilməsindən və ya silinməsindən qorumaq.[4][5]
Sistemlərin etibarlılığı — tətbiq sistemlərinin düzgün işləməsini və istifadəçi məlumatlarının təhlükəsizliyini təmin etmək.
Təhlükəsizlik sınaqları — tətbiqlərdəki zəifliklərin aşkarlanması və aradan qaldırılması üçün müxtəlif təhlükəsizlik testlərinin keçirilməsi.
Sosial mühitlərin idarəsi — tətbiq istifadəçilərinin və onların fəaliyyətlərinin izlənməsi, qorunması və təhlükəsizliyin təmin edilməsi.
Tətbiq təhlükəsizliyi, müasir proqram təminatının inkişafında və idarəsində əhəmiyyətli bir yer tutur.[6] Məlumatların qorunması, istifadəçi etibarının artırılması və sistemlərin etibarlılığının təmin edilməsi üçün güclü təhlükəsizlik tədbirlərinin görülməsi vacibdir. Bu sahədəki inkişaflar, informasiya texnologiyalarının geniş yayılması ilə yanaşı, daha da əhəmiyyətli hala gəlir.[7] Tətbiq təhlükəsizliyi sahəsindəki tədqiqatlar və innovasiyalar, müasir dövrdə sosial və iqtisadi əhəmiyyətini artırır.[8]
Tətbiq təhlükəsizliyinin tətbiqi
Kodun təhlükəsizliyi — tətbiq kodunun yazılmasında təhlükəsizlik standartlarının və yaxşı təcrübələrin tətbiqi.
Kodun yoxlanması — kodun təhlükəsizliyini təmin etmək üçün auditlərin keçirilməsi.
Təhlükəsizlik testləri — tətbiqin zəifliklərini müəyyən etmək və aradan qaldırmaq üçün mütəmadi təhlükəsizlik testlərinin keçirilməsi.
Penetrasiya testləri — hücum edənlərin metodlarına uyğun simulyasiyalar apararaq zəifliklərin aşkar edilməsi.
Şifrələmə — məlumatların ötürülməsi və saxlanması zamanı müasir şifrələmə metodlarından istifadə edilməsi.
Təhlükəsizlik protokolları — müxtəlif təhlükəsizlik protokollarının (HTTPS, OAuth, JWT) tətbiqi, tətbiqlərin təhlükəsizliyini artırır.
Təhlükəsizlik tədqiqatları — yeni təhlükəsizlik tədqiqatlarının və təhdidlərin izlənməsi, tətbiq sistemlərinin müasir təhdidlərə qarşı mühafizəsi.