يعود تاريخ البرمجة إلى عام 1843م ، وكان مفهوم آمن البرمجيات مهمل بشكل واضح في ذلك الحين وكان مقتصراً على كتابة أكواد برمجية للتحكم بالوصول المادي إلى الأجهزة.
وفي أوائل السبعينات، أصبح من الممكن الوصول إلى الأنظمة دون التواجد بقربها وذلك بفضل الشبكة الحاسوبية
أصبح من المهم في تلك الحقبة كتابة البرامج بشكل آمن من أجل الحفاظ على البيانات والأنظمة من التهديدات الخارجية.
وفي أوائل الثمانينيات، بدأ المبرمجون بكتابة برامج مصممة خصيصًا لاكتشاف البرامج الضارة وإزالتها وسميت بمضادات الفيروسات
وبدأت الحرب بين المتسللين (الهاكرز) وخبراء آمن المعلومات واستمرت إلى يومنا هذا.
وأخذت الخروقات تزداد يوماً بعد يوم؛ مما أدى إلى خسائر اقتصادية فادحة في بعض البلدان
وأصبح من واجب المبرمج تحمل مسؤولية أي ضرر حفاظاً على سمعته التي يمكن أن تتضرر بشكل لا يمكن إصلاحه نتيجة حادث أمني معين.
وهنا نذكر إنه من السهل جداً أن نتعلم كيفية إنشاء برامج آمنة
المبادئ الستة لإنشاء أكواد برمجية آمنة
أولاً الأخذ بعين الاعتبار تطوير أكواد برمجية آمنة أثناء التخطيط للمشروع:
يجب التأكيد على ضرورة اتخاذ مجموعة من الخطوات التي تركز على الأمان قبل بدء العمل في مشروع برمجي جديد, وقد حدد مشروع (Open Web Application Security Project (OWASP هذه الخطوات كما يلي:
- يجب تحديد متطلبات الأمان للبرنامج الذي يتم تطويره.
- اختيار وتنفيذ إطار تطوير آمن.
- اتباع المبرمجين المعايير لكتابة كود برمجي آمن.
- تدريب أعضاء الفريق البرمجي على كتابة كود برمجي آمن.
- القيام باختبارات الآمان أثناء التطوير مع الأخذ بعين الاعتبار وجود وقت كافي لإعادة الكتابة في حال وجود أي أخطاء.
ثانياً التحقق من صحة البيانات المدخلة:
هذا الأمر هام جداً لأن إدخال البيانات المشوهة والضارة مشكلة كبيرة وقد تشكل ثغرات أمنية يمكن للهاكرز استغلالها وحدوث خرق أمني.
وفي هذه الحالة يمكن استخدام فلاتر للتحقق من صحة البيانات المدخلة.
ثالثاً اتباع مبدأ الصلاحيات الأقل (principle of least privilege (POLP:
وذلك من أجل التحكم بوصول المستخدمين إلى البيانات والبرامج والأنظمة، حيث يجب الحد من الوصول الخارجي إلى أقصى درجة ممكنة.
رابعاً استخدام التشفير لتآمين البيانات والإتصالات:
تعتمد العديد من عمليات استغلال البرامج على اعتراض حركة مرور البيانات من داخل التطبيقات للحصول على وصول مخول أو التركيز على استخراج البيانات من البرنامج نفسه
والتشفير يجعل هذه المحاولات أكثر صعوبة، ويجعل أي تسرب للبيانات عديم الفائدة للمهاجم.
خامساً إنشاء توثيق وتعليمات معيارية:
إن الاعتناء بوثائق المشروع الذي يتم العمل عليه والاهتمام بالتعليمات التي يتم تركها داخل البرنامج تعد جزءاً أساسياً من تطوير برنامج آمن.
سادساً التفكير كهاكرز:
يجب على المبرمج أن يتعلم كيفية التفكير مثل الهاكرز، حيث لا يكفي أن يفهم شروط الأمان وحدها
بل يجب عليه أن يعلم الحيل والتقنيات التي تستخدمها الجهات الخبيثة لتهكير البرامج، أي يجب عليه تعلم مبادئ الاختراق الأخلاقي بقصد اكتشاف الثغرات الأمنية والحد من استغلالها.
النهاية
إن متابعة هذه المبادئ المذكورة في المقال تمكّن المبرمجين من إزالة العديد من العيوب الأمنية في أي برنامج , وكما يقال الوقاية خير من آلف علاج.
و هذه هي الطريق الوحيدة التي اتبعت للتغلب على التحديات الأمنية التي واجهتها جميع البرامج في عصر الإنترنت.
المصدر : انقر هنا
- إعداد : المهندسة نوره سلمان حيدر
- تدقيق : المهندسة اسماء حمود
- تحرير : المهندسة يمنى يازجي
- تصميم : المهندس بشار الحجي