Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Secure Coding Standards

Merab Tato Kutalia
December 30, 2021
Technology
0
130

Secure Coding Standards

What are the guidelines we have to follow in order to bring more security to our apps and users? What is OWASP? What tools can we use to monitor and prevent issues? All these questions will be covered in this talk

Merab Tato Kutalia

December 30, 2021
Tweet

More Decks by Merab Tato Kutalia

See All by Merab Tato Kutalia
What's new in Android 14?
tatocaster
0
130
Migrate to Gradle version catalog and convention plugins
tatocaster
3
1.7k
Make Codebases Secure with OWASP
tatocaster
0
170
ტანგო ანდროიდთან
tatocaster
0
180
Adopting Huawei Mobile Services
tatocaster
0
48
Android UI Testing & Challenges
tatocaster
1
68
Reverse & Inject - droidcon
tatocaster
3
240
mobile DevOps
tatocaster
1
83
Android Reverse Engineering and Analysis - OWASP Tbilisi
tatocaster
1
210

Other Decks in Technology

See All in Technology
AWS re:Inventを徹底的に楽しむためのTips / Tips for thoroughly enjoying AWS re:Invent
yuj1osm
1
570
いまならこう作りたい AWSコンテナ[本格]入門ハンズオン 〜2024年版 ハンズオンの構想〜
horsewin
9
2.1k
いまさらのStorybook
ikumatadokoro
0
140
使えそうで使われないCloudHSM
maikamibayashi
0
170
10分でわかるfreeeのQA
freee
1
3.4k
Shift-from-React-to-Vue
calm1205
3
1.3k
[AWS JAPAN 生成AIハッカソン] Dialog の紹介
yoshimi0227
0
150
WINTICKETアプリで実現した高可用性と高速リリースを支えるエコシステム / winticket-eco-system
cyberagentdevelopers
PRO
1
190
生成AIとAWS CDKで実現! 自社ブログレビューの効率化
ymae
2
330
初心者に Vue.js を 教えるには
tsukuha
5
390
AWSコンテナ本出版から3年経った今、もし改めて執筆し直すなら / If I revise our container book
iselegant
15
4k
Commitment vs Harrisonism - Keynote for Scrum Niseko 2024
miholovesq
6
1.1k

Featured

See All Featured
Why You Should Never Use an ORM
jnunemaker
PRO
53
9k
KATA
mclloyd
29
13k
Code Reviewing Like a Champion
maltzj
519
39k
Why Our Code Smells
bkeepers
PRO
334
57k
A better future with KSS
kneath
238
17k
Fantastic passwords and where to find them - at NoRuKo
philnash
50
2.8k
It's Worth the Effort
3n
183
27k
Building an army of robots
kneath
302
42k
Agile that works and the tools we love
rasmusluckow
327
21k
GraphQLの誤解/rethinking-graphql
sonatard
66
9.9k
For a Future-Friendly Web
brad_frost
175
9.4k
Keith and Marios Guide to Fast Websites
keithpitt
408
22k

Transcript

  1. Secure Coding Standards Merab Tato Kutalia Android GDE, Chapter Lead

    @ TBC Bank @TatoKutalia

  2. როგორია უსაფრთხო პროგრამა? • access control-ის მართვა • data protection

    • მოწყვლადობებისგან დაცვა

  3. უსაფრთხო კოდის სტანდარტები

  4. რა არის უსაფრთხო კოდის სტანდარტები? უსაფრთხო კოდის სტანდარტები არის წესებისა

    და მითითებების ნაკრები რომელიც გამოიყენება მოწყვლადობის აღმოსაფხვრელად. ამ სტანდარტების სწორად გამოყენების შემთხვევაში ეფექტურად შეგვიძლია იმ შეცდომების პოვნა, აღმოფხვრა და პრევენცია, რომელსაც შეუძლია ჩვენი პროგრამული უზრუნველყოფის დაზიანება.

  5. რატომ უნდა გვაღელვებდეს? • დაუცველი მომხმარებლის ინფორმაცია • რეპუტაციული ზიანი

    • არასანდო დეველოპმენტ პროცესები

  6. რა ვიღონოთ? • მივყვეთ იმ პროგრამული ენის და პლატფორმის სტანდარტებს

    რასაც გვთავაზობენ • JVM • Android • Apple/iOS

  7. რა ვიღონოთ? • მივყვეთ იმ პროგრამული ენის და პლატფორმის სტანდარტებს

    რასაც გვთავაზობენ • OWASP Top 10 (Mobile) • CVE • CERT • JVM • Android • Apple/iOS

  8. OWASP The Open Web Application Security Project • Tools and

    Resources • Community and Networking • Education & Training

  9. OWASP Top 10 Mobile • M1: Improper Platform Usage •

    M2: Insecure Data Storage • M3: Insecure Communication • M4: Insecure Authentication • M5: Insufficient Cryptography • M6: Insecure Authorization • M7: Client Code Quality • M8: Code Tampering • M9: Reverse Engineering • M10: Extraneous Functionality

  10. OWASP Mobile Security Testing Guide (MSTG) უსაფრთხოების სტანდარტები თანამედროვე მობილური

    აპლიკაციებსთვის. ტექნიკები და ხელსაწყოები. უსაფრთხოების checklist https://owasp.org/www-project-mobile-security-testing-guide/ https://github.com/OWASP/owasp-mstg

  11. OWASP dependency check მხარდაჭერილია ყველა პლატფორმაზე. ამოწმებს 3rd party ბიბლიოთეკებს

    ჩვენს პროექტში საჯარო მონაცემთა ბაზაში, ანიჭებს შესაბამის ქულას და რეპორტის სახით გვთავაზობს. (მათ შორის transitive dependencies) ჩვენი პლატფორმის და სხვა გარემოებებზე დაყრდნობით უნდა გავაანალიზოთ ეს რეპორტი აქვს false-positive-ები*

  12. OWASP dependencyCheck Android

  13. Gradle setup • project and app-level gradle

  14. Advanced setup

  15. CVSS - =Common Vulnerability Scoring System

  16. მადლობა