Prethodnog ponedeljka, drugog aprila, u Playground-u je održan događaj na temu ,,Testiranje bezbednosti OWASP: Top 10 rizika kroz primere’’. Ivan Avdić, Rade Knežević i Miljana Čikarić iz kompanije Endava govorili su o najopasnijim napadima na web aplikacije u 2017., uticajima sigurnosnih propusta na web aplikacije i kako se zaštititi. Ovaj događaj je privukao veliki broj programera i QA testera. Razgovarali smo sa Zoranom Labrovićem iz Endave.

ICT Hub: Ovaj događaj je privukao veliki broj programera i QA testera, zbog čega se zajednica toliko odazvala na ovu temu?

Zoran: Mislim da će se u skorijoj budućnosti očekivati da svaka Web aplikacija ispuni neki minimum zahteva u vezi bezbednosti (koji će najverovatnije biti zasnovani upravo na OWASP-ovoj listi). Veliki broj naših developera i testera radi uglavnom za inostrane kompanije, pa postaju svesni ovog trenda. To će biti nešto što se podrazumeva kao što se danas podrazumeva da Web aplikacija radi na svim platformama, bilo da je to PC ili mobilni uređaj.

ICT Hub: Zbog čega ste odabrali baš ovih 10 propusta?

Zoran: Kada pogledamo spisak kompanija i institucija koje stoje iza OWASP-a, jasno je koliko je ova neprofitna organizacija značajna u svetu bezbednosti softvera. Njihov spisak top 10 bezbednosnih rizika je upravo zbog toga merodavniji, zato što postoji velika baza informacija na osnovu kojih je lista sastavljena. Dakle, u pitanju su opšte poznate greške, koje smo mi prikazali kroz konkretne primere koristeći aplikacije koje su upravo tome namenjene.

ICT Hub: Ovo je već treći meetup koji organizujete, prethodna dva su bila na teme automatskog testiranja i menadžmenta rizika, kako ste odabrali ove teme?

Zoran:  Endava radi već dugi niz godina na razvoju aplikacija koje moraju da budu usklađene sa raznim sigurnosnim zahtevima, a najčešći zahtevi su upravo bezbednosni rizici koji su ovde nabrojani. Iz iskustva znamo koliko je teško nekome ko se ranije nije sretao sa ovakvim zahtevima, da uspe sa njima da izađe na kraj. Hteli smo da približimo ovu temu široj zajednici kroz konkretne primere i ujedno ukažemo koliko posledice mogu da budu ozbiljne, ukoliko se aplikacije ne zaštite na adekvatan način.

ICT Hub: Da li ste se odlučili za temu narednog meetup-a?

Zoran: Vraćamo se automatskom testiranju. Na prethodnom meetup-u je bilo veliko interesovanje za TA alate, tako da će tema narednog okupljanja biti izvršavanje automatskih UI testova na udaljenoj (remote) mašini pomoću Jenkins-a i Selenium Grid-a.