Java EE tietoturva

Törmäsin hyvään esitykseen turvallisesta Java EE rakentamisesta.  Ei mitään uutta eikä mullistavaa, mutta samoja hyviä käytäntöjä joita itsekin allekirjoitan:

http://www.java-tv.com/2012/12/04/java-ee-security-in-practice-with-java-ee-6-and-glassfish/

Kyllähän tiedetään mikä tekee ratkaisusta turvallisen. Silti häkellyttävää miten paljon turvatonta koodia on liikenteessä. Tietoturva on usein se asia joka jää hakkuupölkylle yhdessä testauksen kanssa kun tulee kiirettä.

Tähän voi tulla muutos. Briteissä on jo ollut pari vuotta voimassa säädös jonka nojalla yritystä voidaan sakottaa tietomurroista jotka ovat johtuneet huonosta tietoturvasta järjestelmissä – sakko voi nousta 500,000 puntaan asti. Tietomurtoja ovat esim. tilanteet jossa asiakkaiden salasanoja tai henkilö tai maksutietoja joutuu vääriin käsiin huolimattomuuden tai haavoittuvuuden vuoksi. EU puuhastelee lainsääsäntöä (General Data Protection Regulation) jossa rikkeestä voi päästä maksamaan sakkoa 2% yrityksen vuotuisesta liikevaihdosta – tai litteän miljoonan. Auts!

Kun tietoturva nostaa päätään myös Open Web Application Security Project OWASP on nousussa, antaen vähän kättä pidempää tietoturvahaavoittuvuuksien tunnistamiseen ja koulutuksen formalisointiin. OWASP on hyvin sovellettavissa esim. Java web hankkeisiin tai Scala tai Grails projekteihin.

Lähde:

http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_en.pdf

http://en.wikipedia.org/wiki/OWASP

Advertisements

Vastaa

Täytä tietosi alle tai klikkaa kuvaketta kirjautuaksesi sisään:

WordPress.com-logo

Olet kommentoimassa WordPress.com -tilin nimissä. Log Out / Muuta )

Twitter-kuva

Olet kommentoimassa Twitter -tilin nimissä. Log Out / Muuta )

Facebook-kuva

Olet kommentoimassa Facebook -tilin nimissä. Log Out / Muuta )

Google+ photo

Olet kommentoimassa Google+ -tilin nimissä. Log Out / Muuta )

Muodostetaan yhteyttä palveluun %s