За исключением публичных ресурсов, следует использовать «отказ по умолчанию» deny by default.

Отключить кэширование для ответов, содержащих

конфиденциальные данные.

Не использовать устаревшие протоколы, такие как FTP и SMTP,

для передачи конфиденциальных данных.

Всегда использовать аутентифицированное шифрование

вместо обычного шифрования.

Обеспечить шифрование всех конфиденциальных данных в

покое.

Использовать моделирование угроз для критически важной

аутентификации, контроля доступа, бизнес-логики и ключевых

потоков.

Разделять уровни системы и сети в зависимости от уровня

подверженности и потребностей в защите.

Отправить клиентам директив безопасности, например,

заголовков безопасности.

Использовать позитивную серверную валидацию ввода.

Автоматизировать процесс проверки эффективности

конфигураций и настроек во всех средах.

Удалить неиспользуемых зависимостей, ненужных функций,

компонентов, файлов и документации.

Не используйте и не развертывайте систему с дефолтными

учетными данными, особенно для администраторов.

Разделять уровни системы и сети в зависимости от уровня

подверженности и потребностей в защите.

Использовать моделирование угроз для критически важной

аутентификации, контроля доступа, бизнес-логики и ключевых

потоков.

Логировать отказы в контроле доступа, уведомляйте

администраторов, когда это необходимо

Внедрить проверки слабых паролей, такие как тестирование

новых или измененных паролей на соответствие списку из 10

000 самых слабых паролей.

Не использовать и не развертывайте систему с дефолтными

учетными данными, особенно для администраторов.

Отсутствует должная настройка безопасности в какой-либо

части стека приложения или неправильно настроены

разрешения на облачных сервисах.

Активированы учетные записи по умолчанию и их пароли не

изменены.

Для обновленных систем последние функции безопасности

отключены или не настроены должным образом.

Данные, предоставленные пользователем, не валидируются,

не фильтруются и не очищаются приложением.

Удалить неиспользуемые зависимости, ненужные функции,

компоненты, файлы и документации.

Получать компоненты только из официальных источников

через защищенные каналы.

Проводить мониторинг библиотек и компонентов, которые не

поддерживаются или не создают исправления безопасности

для старых версий.

Написать юнит- и интеграционные тесты, чтобы проверить,

что все критические потоки устойчивы к моделям угроз.

Использовать цифровые подписи или аналогичные механизмы

для проверки того, что программное обеспечение или данные

поступают из ожидаемого источника и не были изменены.

Убедиться, что библиотеки и зависимости, такие как npm или

Maven, используют доверенные репозитории.

Убедиться, что существует процесс проверки изменений кода

и конфигураций, чтобы минимизировать вероятность

внедрения вредоносного кода или конфигурации в вашу

программу.

Автоматизированный процесс проверки эффективности

конфигураций и настроек во всех средах.