AR-GE

IAST: Etkileşimli Uygulama Güvenlik Yazılım Testi

Layer 3 ve layer 4'de yapılan siber korumalar, uygulama mantığından habersiz olunduğu için siber güvenlik açısından yetersizdir. Bu nedenle uygulama yazılımı seviyesi (layer 7) güvenliği giderek önem kazanmaktadır.

  • Açıklama

Layer 3 ve layer 4'de yapılan siber korumalar, uygulama mantığından habersiz olunduğu için siber güvenlik açısından yetersizdir. Bu nedenle uygulama yazılımı seviyesi (layer 7) güvenliği giderek önem kazanmaktadır. Projenin amacı proje çağrısı kapsamında uygulama yazılımlarının güvenlik testi için çok yeni bir yaklaşım olan Etkileşimli Uygulama Güvenlik Testi (Interactive Application Security Testing-IAST) kullanan bir yazılım test aracının geliştirilmesidir. Anahtar Kelimeler: Etkileşimli Uygulama Güvenlik Testi, IAST, Uygulama yazılımı güvenlik testi IAST statik (Static Application Security Test-SAST) ve dinamik (Dynamic Application Security Test-DAST) analizleri ve fazlasını kapsamaktadır. SAST beyaz-kutu, DAST kara-kutu test yöntemleridir. IAST'la, yazılım enstümantasyonu ile içerik bilgisi otomatik olarak alınır ve bu bilgiler kullanılarak güvenlik açıkları daha doğru ve etkin belirlenir. IAST uygulama içinde gerçekleştirilir, uygulama çalışırken güvenlik açıkları sürekli izlenir ve belirlenir. IAST yalnızca gelişitirilen kod, kütüphaneler ve altyapı yazılımları (framework'ler) tarafında çalışan kaynak kodu, binary kod ve bytekod ile sınırlı olmadığından kapsamı en fazla olan uygulama yazılım güvenlik testleridir. İçerik, veri akışı ve kontrol akışı bilgileri uygulama içinden alınır ve çalışan koddan geçen gerçek veri değerlerine erişim sağlanır. IAST sonuçları bir RASP (Runtime Application Security Protection) aracına girdi oluşturacaktır. Test aracı seçilen kamu ve özel kurumlarda kullanılan yazılımlarda denenecek, güvenlik zaafiyetleri belirlenecektir.