Girîngiya Ewlekariya Nermalavê
Di cîhana dîjîtal a îro de, ewlekariya nermalavê ne tenê taybetmendiyek e, ew pêdivîyek bingehîn e. Li gorî rapora IBM-ê ya 2024-ê, lêçûna navîn a binpêkirina daneyê 4.88 milyon dolar e. Her weha, %83 ê pargîdaniyan di jiyana xwe de bi kêmî ve carekê binpêkirina daneyê ceribandin.
TAGUM ewlekariyê wekî prensîba bingehîn a pêşkeftina nermalavê dibîne û di hemû projeyên xwe de prensîbên kodkirina ewle bi kar tîne.
OWASP Top 10 – 2021
OWASP (Open Web Application Security Project) rêxistinek ne-qezenc e ku ji bo baştirkirina ewlekariya nermalavê dixebite. OWASP Top 10 navnîşa 10 xetereyên herî girîng ên ewlekariya sepanên webê ye.
A01: Broken Access Control (Kontrola Gihîştina Şikestî)
Ev xetereya herî girîng e di navnîşa 2021-ê de. Dema ku bikarhêner dikarin tiştên ku destûra wan tune ye bikin, kontrola gihîştinê şikestî ye. Mînak:
- Bikarhênerek asayî dikare daneyên bikarhênerên din bibîne
- URL-ê biguherîne û bigihîje rûpelên admin
- API-yê bêyî kontrola destûrê bi kar bîne
Çareserkirin: Prensîba “deny by default”, kontrola gihîştinê li aliyê serverê, RBAC (Role-Based Access Control).
A02: Cryptographic Failures (Têkçûnên Krîptografîk)
Dema ku daneyên hestiyar bi rêkûpêk nayên parastin. Ev tê de şîfrekirina ne-ewle, protokolên kevnar, û mifteyên nebaş hene.
Çareserkirin: TLS 1.3, şîfrekirina daneyên hestiyar, algorîtmayên nûjen (AES-256, bcrypt).
A03: Injection
Dema ku daneyên bikarhêner bêyî kontrolkirin wekî ferman an lêpirsîn têne şandin. Cureyên sereke:
- SQL Injection: Kodê SQL-ê di nav inputê de dişîne
- XSS (Cross-Site Scripting): Kodê JavaScript-ê di nav rûpelê de dimeşîne
- Command Injection: Fermanên pergalê dimeşîne
- LDAP Injection: Lêpirsînên LDAP-ê manipule dike
Çareserkirin: Parameterized queries, input validation, output encoding, ORM bikaranîn.
A04: Insecure Design (Sêwirana Ne-ewle)
Ev kategoriya nû ye di 2021-ê de. Ew li ser kêmasiyên di sêwirana nermalavê de disekine ku ji destpêkê ve ewlekarî nehatiye hesibandin.
Çareserkirin: Threat modeling, secure design patterns, abuse cases di plankirinê de.
A05: Security Misconfiguration (Mîhengên Ewlekariyê yên Xelet)
Mîhengên default ên ne-ewle, karûbarên ne-pêdivî yên vekirî, header-ên ewlekariyê yên winda.
Çareserkirin: Hardening, configuration review, otomasyona mîhengan (Infrastructure as Code).
A06: Vulnerable and Outdated Components
Bikaranîna pêkhateyên kevnar ên ku qelsiyên ewlekariyê yên naskirî hene. Ev yek ji pirsgirêkên herî berbelav e.
Çareserkirin: Nûvekirina berdewam, SCA (Software Composition Analysis), Snyk/Dependabot.
A07: Identification and Authentication Failures
Kêmasiyên di nasîn û rastkirina bikarhêneran de. Şîfreyên qels, nebûna MFA, session management ya ne-ewle.
Çareserkirin: MFA, polîtîkayên şîfreyên hêzdar, rate limiting, session timeout.
A08: Software and Data Integrity Failures
Dema ku nermalav û dane bêyî kontrola yekparebûnê têne bikaranîn. Ev tê de CI/CD pipeline-ên ne-ewle û deserialization ya ne-ewle hene.
Çareserkirin: Signature verification, SRI (Subresource Integrity), CI/CD ewlekariya pipeline.
A09: Security Logging and Monitoring Failures
Nebûna tomarkirina bûyerên ewlekariyê û çavdêriya pergalê. Bêyî logging û monitoring, êrîş nayên tesbîtkirin.
Çareserkirin: Centralized logging, SIEM, alerting, incident response plan.
A10: Server-Side Request Forgery (SSRF)
Dema ku êrîşkar dikare server bike ku daxwazên HTTP-yê ji navxweyî bişîne. Ev dikare bigihîje karûbarên navxweyî û metadata-yê.
Çareserkirin: Input validation, allowlist, network segmentation.
Prensîbên Kodkirina Ewle
Defense in Depth
Gelek qatên ewlekariyê bi kar bînin. Eger yek qat were derbaskirin, qatên din parastinê pêk tînin.
Principle of Least Privilege
Her bikarhêner û pêkhate tenê destûrên ku hewce ne distîne, ne zêdetir.
Input Validation
Hemû daneyên ku ji derve tên divê bêne kontrol kirin û paqij kirin berî ku bêne bikaranîn.
Fail Securely
Dema ku xeletî çêdibe, pergal divê li rewşa ewle vegere, ne li rewşa vekirî.
Security by Design
Ewlekarî divê ji destpêkê ve di sêwirana pergalê de were hesibandin, ne piştî.
DevSecOps
DevSecOps nêzîkatîyek e ku ewlekariyê di nav pêvajoya DevOps de bi cih dike. Li şûna ku ewlekarî di dawiyê de were kontrol kirin, ew di her qonaxê de tê hesibandin:
- Plan: Threat modeling, security requirements
- Code: Secure coding, code review, SAST
- Build: Dependency scanning, SCA
- Test: DAST, penetration testing
- Release: Configuration review, compliance check
- Deploy: Infrastructure scanning, hardening
- Operate: Monitoring, logging, incident response
TAGUM û Ewlekariya Nermalavê
TAGUM ewlekariyê wekî prensîba bingehîn a pêşkeftinê dibîne. Di hemû projeyên xwe de nêzîkatiya DevSecOps bi kar tîne. Tîma ewlekariya me bi rêkûpêk testên penetration pêk tîne û qelsiyên ewlekariyê kontrol dike.
Di projeyên mîna PratikEsnaf.Net û DeskTR de, hemû prensîbên OWASP Top 10 têne şopandin. ixir.ai jî ewlekariya daneyên AI bi rengekî taybet kontrol dike.
Karûbarên ewlekariya TAGUM:
- Şêwirmendiya ewlekariya nermalavê
- Testên penetration û vulnerability assessment
- Code review ya ewlekariyê
- Perwerdehiya kodkirina ewle ji bo tîman
Encam
Ewlekariya nermalavê ne tiştek e ku piştî pêşkeftinê were zêdekirin – ew divê ji destpêkê ve di nav pêvajoyê de be. Bi şopandina OWASP Top 10 û prensîbên kodkirina ewle, hûn dikarin nermalava ewletir ava bikin. Ji bo zanîna bêtir der barê karûbarên ewlekariya TAGUM, bi me re têkilî daynin.