OWASP چیست ؟
در زمینه های مختلفی از جمله تولید مقالات ، شرکت در تالارهای گفتمان ، معرفی و تولید نرم افزارهای امنیتی وب ، تولید مستندات و متدولوژی های امنیتی بصورت کاملا رایگان فعالیت می کنند و نتیجه فعالیت خود را در مستند نهایی این پروژه مشاهده می کنند. پروژه OWASP در ابتدا به عنوان یک استاندارد مطرح نشد اما امروزه به عنوان معیار یا بهتر بگوییم Baseline امنیتی طراحی و تولید امنیت در نرم افزارهای تحت وب استفاده می شود.
لیست پروژه های OWASP
پروژه OWASP با توجه به گستردگی تکنولوژی های وب و همچنین پیچیده تر شدن ساختارهای برنامه نویسی و مبحث امنیت آنها به خودی خود به چندین پروژه کوچکتر تبدیل شد و امروزه اکثر افرادی که تصور می کنند با OWASP آشنایی دارند صرفا با یک یا چند عدد از این زیر پروژه ها آشنایی دارند ، OWASP امروزه متشکل از ۹ زیر پروژه یا پروژه های کوچک است که هر کدام بصورت جداگانه در خصوص یکی از موارد مرتبط با امنیت حوزه نرم افزارهای تحت وب فعالیت می کنند ، در زیر لیست این ۹ پروژه را می توانید مشاهده کنید :
۱٫ OWASP Application Security Verification Standard یا ASVS : استاندارد تایید امنیت نرم افزارهای کاربردی یا ASVS همانطور که از نام این پروژه پیداست برای دریافت تاییده برای نرم افزارهای وب در خصوص رعایت استاندارد های امنیت بکار گرفته می شود. بر طبق این استاندارد یک سری تست های امنیتی بر روی نرم افزار از قبلی Cross Site Scripting و SQL Injection و حملاتی از این قبلی انجام می شود و در صورت رعایت شدن این موارد در نرم افزار ، موفق به دریافت استاندارد می شوند.
۲٫ OWASP XML Security Gateway یا XSG : این استاندارد بصورت پایلوت فعلا ایجاد شده است و بصورت ویژه برای برقراری امنیت برای ساختار XML مورد استفاده قرار می گیرد.
۳٫ OWASP Development Guide : راهنمای توسعه نرم افزار برای برنامه نویسان وب ایجاد شده است و شامل یک سری نمونه کدهای کاربردی و تمثیلی از زبانهای برنامه نویسی مانند J2EE و ASP.NET و PHP می باشد. در این راهنمای برنامه نویسی و توسعه نرم افزارهای وب برنامه نویس با انواع و اقسام حملات تحت وب از قبیل SQL Injection و همچنین حملات جدیدتر شامل Phishing و حتی مباحث کارت های اعتباری و امنیت تبادلات الکترونیک ، Session Fixation و بسیاری دیگر از مسائل مهم اعم از مشکلات حریم خصوصی در وب سایت ها آشنا می شوند و به آنها در جهت رفع مشکلات احتمالی در خصوص این نرم افزار ها راهنمایی های لازم ارائه می شود.
۴٫ OWASP Testing Guide : همانطور که از نام این پروژه مشخص است راهنمایی برای تست و آزمون گرفتن از نرم افزارهای کاربری تحت وب است. این پروژه در واقع یک راهنمای مقدماتی برای برنامه نویسان وب می باشد تا بتوانند در پروژه های تست نفوذ سنجی به نرم افزارهای تحت وب از آن استفاده کرده و آن را معیار امنیتی خود قرار بدهند. در این راهنما تکنیک های مقدماتی نفوذ و حمله به نرم افزارهای تحت وب و سرویس های تحت وب تشریح شده است.
۵٫ OWASP Code Review Guide : راهنمایی برای مرور کدهای نوشته شده و مستند سازی کدهای نوشته شده می باشد که برنامه نویس بتواند پس از نوشتن یا توسعه نرم افزار کاربردی وب خود آن را آزمایش کرده و نقاط ضعف در کدهای نوشته شده را برطرف کند.
۶٫ OWASP ZAP Project : این پروژه یک نرم افزار تست نفوذ سنجی تقریبا ساده می باشد که برای انجام تست های نفوذ سنجی به نرم افزار های کاربردی تحت وب مورد استفاده قرار می گیرد. این ابزار برای استفاده برنامه نویسان و هکرهای قانومند بسیار مناسب و کاربردی می باشد.
۷٫ OWASP Top Ten : هدف از این پروژه اطلاع رسانی در خصوص مشکلات امنیتی نرم افزارهای تحت وب و هشدار دهی به سازمان ها در خصوص امنیت برنامه های تحت وب می باشد. در این پروژه انواع و اقسام مختلفی از ابزارها ، کد ها ، راهنماها و … معرفی و استفاده می شود.
۸٫ OWASP Software Assurance Maturity Model یا SAM : این پروژه یک راهنما برای سازمان ها است تا بتوانند یک چارچوب درست امنیتی و تحلیل امنیتی برای نرم افزارهای تحت وب خود ایجاد کنند تا بتوانند با مشکلات امنیتی نرم افزارهای کاربردی تحت وب و ریسک های آن بصورت هدفمند و روشمند مقابله و برخورد کنند.
۹٫ Webgoat : این پروژه یک نرم افزار کاربردی تحت وب می باشد که تمامی نقاط ضعفی که تا به حال توسط OWASP شناخته شده اند را بصورت مجازی و در قالب یک محیط برنامه نویسی شده شبیه سازی و در اختیار برنامه نویسان قرار می دهند.افرادی که با انواع حملات آشنایی پیدا کرده اند ولی می خواهند آن را بصورت عملی درک کنند کافیست این نرم افزار را دانلود کرده و آن را نصب و از طریق راهنمای آن تمامی حملات را بصورت شبیه سازی شده انجام دهند.
در این مقاله با مفهوم OWASP آشنا شدید ، امیدوارم از این به بعد اگر به عنوان یک برنامه نویس وب فعالیت می کند از این روش و راهنما یا بهتر بگوییم استاندارد امنیتی در کد نویسی و تمامی مراحل نرم افزار خود استفاده کنید.
+ نوشته شده در چهارشنبه بیست و نهم آبان ۱۳۹۲ ساعت ۷:۳۶ توسط حمید مقصودی | نظرات
استفاده از پیل های سوختی در دیتاسنترهای مایکروسافت
طبق گزارشی که از مایکروسافت در روز سه شنبه منتشر شد، پیل سوختی جایگزین قدرتمندی برای انرژی دیتاسنترها است. به وضوح در این گزارش آمده که “در آینده زیرساخت الکتریکی نداریم و به سمت دیتاسنترهای مجهز به پیل های سوختی حرکت می کنیم”. این گزارش نشان می دهد که قرار است به زودی از پیل های سوختی به عنوان یک منبع انرژی مرکزی و یک فناوری برای تولید مستقیم انرژی استفاده شود. این فناوری در رک ها (rack) یا در هر یک از کابین های سرور قرار می گیرد.
امروزه صنعت های زیادی به پیل های سوختی علاقه مند شده اند. برای مثال در سپتامبر امسال، کمپانی eBay از یکی از دیتاسنترهای خود در شهر Salt Lake رونمایی کرد که در آن از پیل های سوختی استفاده شده است. این دیتاسنتر را Bloom Energy ساخته است.
پیل های سوختی برای پروژه های در حد کوچک بسیار پاک، قابل اعتماد و عالی هستند. با استفاده از ترکیب پیل های سوختی با سخت افزارهای آی تی می توانیم بخش عمده ای از تجهیزات الکترونیکی تولید انرژی را حذف کنیم. در نتیجه یک سیستم بسیار ساده و کم هزینه از پیل های سوختی در دیتا سنترها داریم که در پی آن هزینه های دیتاسنتر هم کاهش پیدا می کند.
مشکلات فنی که در سر راه داریم مانند سیستم توزیع سوخت، مدیریت انرژی و آموزش مسائل امنیتی پا بر جا هستند. حتی ممکن است زمانی با استفاده از انرژی پاک پیل های سوختی، الکتریسیته و گرمای خانه هایمان را تامین کنیم.
پیل سوختی یک فرایند الکتروشیمیایی است که در آن هیدروژن، گاز طبیعی، اتانول یا بیوگاز را به برق، آب و حرارت تبدیل می کند. دیتا سنتر eBay از بیوگازی استفاده می کند که از پسماندهای کشاورزی به دست می آید.
اگر پیل های سوختی از گاز طبیعی استفاده کنند، خطوط گازرسانی باید در برابر تغییرات فصلی مقاوم باشند. گزارشی از کنسول اقتصادی کاخ سفید بیان می کند که هر ساله تغییرات فصلی یکی از مهم ترین دلایل قطعی گاز است. همچنین با توجه به افزایش تغییرات جوی، شاهد افزایش طوفان ها، کولاک ها، سیل ها و دیگر حوادث ناشی از تغییرات فصلی هستیم. در این گزارش پیشنهاد شده که شبکه گازرسانی را گسترش دهیم.
گزارش مایکروسافت می گوید که پیل های سوختی به مراتب ارزان تر از تجهیزات سوییچینگ، ترانسفورماتورها و کابل های مسی است و بر خلاف ژنراتورها هیچ قسمت متحرکی ندارند.
اگر پیل های سوختی در دیتاسنترها پیاده سازی شوند و در سرورها و رک ها قرار گیرند، می توانیم به طور کامل سیستم توزیع برق را از دیتاسنتر حذف کنیم. اگر یک پیل سوختی از کار بیفتد، تنها بر روی بخش کوچکی از دیتاسنتر تاثیر می گذارد.
پیل های سوختی می توانند بازده دیتاسنترهای قدیمی را چند برابر کنند. همچنین حتی اگر در آن ها از گاز طبیعی استفاده کنیم، باز هم دوستدار محیط زیست هستند.
صرفه اقتصادی یکی از مهم ترین اهداف است که با گسترش استفاده از آن ها در صنعت های مختلف هم قیمت های آن معقول تر می شود. گسترش پیل های سوختی با سرعت زیادی رو به رشد است به طوری که در سال ۲۰۱۲ محموله های پیل سوختی ۳۲ درصد بیشتر از سال ۲۰۱۱ بود. در سال ۲۰۱۲ تعداد محموله های پیل سوختی ۳۰,۰۰۰ تا بود که ۵,۰۰۰ تا بیشتر از سال ۲۰۰۸ است.
با این حال تا استفاده از این تکنولوژی در همه دیتاسنترها راه زیادی باقی است. این را از پویا فضلعلی به خاطر داشته باشید که با وجود مشکلات فنی بسیاری که داریم، پتانسیل عظیمی در پیل های سوختی نهفته است و نباید از آن غافل شویم. امیدوارم که به زودی شاهد دیتا سنترهایی باشیم که کاملا از فناوری پیل های سوختی در آن ها استفاده شده باشد و دیتاسنترها از شبکه های برق رسانی مجزا شوند.