Last updated on 19. Feb. 2024

Wie können Sie Sicherheitsrisiken für Webanwendungen bei der Beschaffung identifizieren?

Bereitgestellt von KI und der LinkedIn Community

Webanwendungen sind für viele Unternehmen unerlässlich, können sie aber auch verschiedenen Sicherheitsrisiken aussetzen. Wenn Sie planen, eine Webanwendung von einem Anbieter oder Entwickler zu beziehen, müssen Sie die potenziellen Bedrohungen und Schwachstellen identifizieren und bewerten, die sich auf Ihre Daten, Funktionalität und Reputation auswirken könnten. In diesem Artikel besprechen wir einige Schritte und Techniken, die Ihnen helfen können, Sicherheitsrisiken für Webanwendungen während der Beschaffung zu bewerten.

Top-Expert:innen in diesem Artikel

Von der Community unter 13 Beiträgen ausgewählt. Mehr erfahren

1 Verstehen Sie Ihre Anforderungen

Bevor Sie sich auf die Suche nach einer Webanwendung machen, müssen Sie Ihre Anforderungen klar definieren. Was sind die Hauptmerkmale und Funktionen der Webanwendung? Welche Datentypen und -quellen werden von der Webanwendung verarbeitet? Welche Sicherheitsstandards und -vorschriften muss die Webanwendung erfüllen? Wie lässt sich die Webanwendung in Ihre bestehenden Systeme und Prozesse integrieren? Durch die Beantwortung dieser Fragen können Sie Ihre Erwartungen und Kriterien für die Sicherheit der Webanwendung festlegen.

Fügen Sie Ihre Sichtweise hinzu

Tirthankar Dutta

CIO & CISO Disney Star and Disney India at The Walt Disney Company | Forbes Technology Council Member | Top Information Security Voice | Top Risk Management Voice | Patent Holder | CISSP | CISA | CISM
Beitrag melden
Identifying web application security risks during the procurement process is crucial for ensuring that the applications your organization acquires meet security standards and do not introduce vulnerabilities into your environment. Here's how you can identify and mitigate web application security risks during procurement: Define Security Requirements Conduct Vendor Security Assessments Review Software Development Practices Perform Security Testing Assess Third-Party Components By following these steps, organizations can effectively identify and mitigate web application security risks during the procurement process, helping to ensure that the applications they acquire are secure and do not pose a risk to their environment.

Übersetzt

Gefällt mir

Nicht hilfreich
Michael Wood

Citrix Engineer Cloud DevOps @ Sapphire Health
Beitrag melden
Getting down to brass tax on this one. * Identify the platform: Windows vs Linux. * Know the web provider: IIS, Tomcat, etc. * Learn the application deployment Questions to ask: 1. Will their be plain text passwords used for application publishing on the web server? 2. Does the application manage itself across multiple web servers or will you need to manually configure each server one by one? 3. Whats the security between web servers and database if they are not on the same machines? Grasping the scope of these things before deployment will help bring in security standards that keep applications save, highly available and focus on providing people with a solid experience on both the frontend and backend.

Übersetzt

Gefällt mir

Nicht hilfreich
VIVEK DAS

Security Architect
Beitrag melden
Understand any applicable compliance requirements (HIPAA, PCI DSS) and ensure application meets them. Also, identify potential attack vectors and vulnerabilities specific to application and industry.

Übersetzt

Gefällt mir

Nicht hilfreich
Leandro Quibem Magnabosco

Security Leader | SDLC Security, PCI DSS/SLC, PCI ISA, 20+YoE
(bearbeitet)
Beitrag melden
Unfortunately, you will be fighting a tough battle if you are looking to assess the security of a 3rd party product/service during the procurement phase. There are a few frameworks that contain 3rd party management modules specifically to address your concern. You can make use of those. Or, which is my preferred method: build your own Security questionnaire. There, ask if they are independently assessed, if they can share a SOC-2 report, or attestation of compliance for other regulations. This will only get you so far, though. Another option is to request a pentest report or ask to be allowed to assess the software yourselves.

Übersetzt

Gefällt mir

Nicht hilfreich

2 Recherchieren Sie den Anbieter oder Entwickler

Sobald Sie Ihre Anforderungen haben, müssen Sie den Anbieter oder Entwickler recherchieren, der die Webanwendung bereitstellt. Sie müssen ihre Anmeldeinformationen, ihren Ruf und ihre Erfahrung in der Entwicklung sicherer Webanwendungen überprüfen. Sie können ihr Portfolio, ihre Erfahrungsberichte, Bewertungen und Referenzen überprüfen, um zu sehen, wie sie mit ähnlichen Projekten und Kunden umgegangen sind. Sie können sie auch nach ihren Entwicklungsmethoden, -tools und -praktiken fragen, z. B. Codierungsstandards, Tests, Debugging, Dokumentation und Versionskontrolle. Sie möchten sicherstellen, dass sie die Best Practices und Richtlinien für die Sicherheit von Webanwendungen befolgen.

Fügen Sie Ihre Sichtweise hinzu

Nitin Umesh

Masters (InfoSec) - Indian Institute of Information Technology) | PhD prs.- Cyber Threat (Lincoln University) | CISA | CRISC | CISM | CEH | ISO27001:2022 LA | PMP
Beitrag melden
Don't build blindly! Hire like a detective.️ Vet web developers: check credentials, reputation, project history. Dive into their processes - are they security ninjas? Coding standards, testing, best practices matter! Choose wisely, build smart, and enjoy a secure, dream-come-true web app. #SecureDevelopment #ChooseWisely

Übersetzt

Gefällt mir

Nicht hilfreich
Niyati Daftary

Research Analyst at Gartner | Research & Advisory | Ex - EY | Ex - Deloitte
Beitrag melden
Researching a web application developer involves reviewing their portfolio, testimonials, and references to assess experience and reputation. Evaluate their adherence to security standards, coding practices, and testing procedures. Confirm their compliance with industry best practices and inquire about certifications. Ensure effective communication and collaboration. By scrutinizing these aspects, you can make an informed decision regarding the developer's capability to deliver a secure, high-quality web application that meets your requirements.

Übersetzt

Gefällt mir

Nicht hilfreich

3 Anfordern eines Sicherheitsaudits oder -tests

Eine weitere Möglichkeit, Sicherheitsrisiken für Webanwendungen während der Beschaffung zu identifizieren, besteht darin, ein Sicherheitsaudit oder einen Test vom Anbieter oder Entwickler anzufordern. Ein Sicherheitsaudit oder -test ist ein Prozess, bei dem die Webanwendung auf Fehler, Schwächen oder Schwachstellen untersucht und bewertet wird, die ihre Sicherheit gefährden könnten. Ein Sicherheitsaudit oder ein Sicherheitstest kann vom Anbieter oder Entwickler selbst, von einem externen Prüfer oder Tester oder von Ihrem eigenen Sicherheitsteam durchgeführt werden. Sie können eine Sicherheitsüberwachung oder Tests in verschiedenen Phasen des Entwicklungslebenszyklus anfordern, z. B. beim Entwurf, bei der Implementierung, bei der Bereitstellung oder bei der Wartung. Sie können auch eine Sicherheitsüberwachung oder Tests für bestimmte Aspekte der Webanwendung anfordern, z. B. Authentifizierung, Autorisierung, Verschlüsselung, Eingabevalidierung, Ausgabecodierung, Fehlerbehandlung, Protokollierung oder Sitzungsverwaltung.

Fügen Sie Ihre Sichtweise hinzu

Karthikeyan K

Cybersecurity 🔓 Leader 👑 | CISSP | AWS Security | Ex-Freshworks | OWASP Chapter Lead-Chennai | Defcon chennai | Helping startups and business to develop secure products
Beitrag melden
Before acquiring software from vendors, we consistently request the latest security testing report, which should comprehensively detail all identified bugs along with their current status. In cases where the vendor does not possess such a report, we seek their permission to conduct testing internally. Following the signing of a standard Non-Disclosure Agreement (NDA), we proceed with testing using our internal security team to assess the vendor's security posture. If the results indicate a clean slate, we proceed with subsequent steps in the procurement process.

Übersetzt

Gefällt mir

Nicht hilfreich
Ayoola Odekunle

Cloud Security Engineer | Cybersecurity Expert | CyberOps | Azure | AWS | Threat Intelligence
Beitrag melden
During the procurement process, it's crucial to include a requirement for a comprehensive security audit or testing of the web application being considered. This audit should involve thorough vulnerability assessments, penetration testing, and code reviews to identify potential security risks and vulnerabilities. By incorporating this step into procurement, organizations can ensure that the selected web application meets security standards and is resilient against potential cyber threats, ultimately enhancing the overall security posture of their IT infrastructure.

Übersetzt

Gefällt mir

Nicht hilfreich
Joshua R.

Information Security Specialist, Researcher, & Speaker
Beitrag melden
Identifying web application security risks involves seeking an audit or penetration test report, or proof of such recent evaluations (the more data that can be provided here, the better). These reports should detail all tested assets, discovered issues, and a follow-up report on the remediation of these issues. A long and detailed testing history of the web application instills confidence that it was developed and maintained with security considerations in mind.

Übersetzt

Gefällt mir

Nicht hilfreich

4 Lesen Sie die Sicherheitsdokumentation

Ein weiterer Schritt zur Identifizierung von Sicherheitsrisiken für Webanwendungen während der Beschaffung besteht darin, die vom Anbieter oder Entwickler bereitgestellte Sicherheitsdokumentation zu überprüfen. Bei der Sicherheitsdokumentation handelt es sich um eine Sammlung von Dokumenten, in denen die Sicherheitsfunktionen, -richtlinien und -verfahren der Webanwendung beschrieben werden. Die Sicherheitsdokumentation kann Sicherheitsspezifikationen, Sicherheitsentwurf, Sicherheitsarchitektur, Sicherheitstestergebnisse, Reaktionsplan für Sicherheitsvorfälle, Sicherheitswartungsplan und Sicherheitsschulungsmaterialien umfassen. Die Sicherheitsdokumentation kann Ihnen helfen zu verstehen, wie die Webanwendung entworfen, implementiert, getestet und gewartet wird, um ihre Sicherheit zu gewährleisten. Es kann Ihnen auch helfen, Lücken, Inkonsistenzen oder Diskrepanzen in der Sicherheit der Webanwendung zu identifizieren.

Fügen Sie Ihre Sichtweise hinzu

Ayoola Odekunle

Cloud Security Engineer | Cybersecurity Expert | CyberOps | Azure | AWS | Threat Intelligence
Beitrag melden
During procurement, reviewing security documentation for web applications is essential to identify potential security risks. This documentation should include details about security features, protocols, compliance certifications, and past security incidents. By thoroughly examining this documentation, organizations can assess the web application's security posture, identify any gaps or weaknesses, and make informed decisions about its suitability for procurement. Additionally, comparing the security documentation with industry best practices and standards can help ensure that the chosen web application meets the necessary security requirements.

Übersetzt

Gefällt mir

Nicht hilfreich

5 Verhandeln Sie den Sicherheitsvertrag

Der letzte Schritt zur Identifizierung von Sicherheitsrisiken für Webanwendungen während der Beschaffung besteht darin, den Sicherheitsvertrag mit dem Anbieter oder Entwickler auszuhandeln. Der Sicherheitsvertrag ist eine rechtliche Vereinbarung, die die Rollen, Verantwortlichkeiten und Erwartungen beider Parteien in Bezug auf die Sicherheit der Webanwendung definiert. Der Sicherheitsvertrag kann verschiedene Aspekte abdecken, wie z. B. Sicherheitsanforderungen, Sicherheitsstandards, Sicherheitsaudits, Sicherheitstests, Sicherheitsdokumentation, Sicherheitsvorfälle, Sicherheitsupdates, Sicherheitssupport, Sicherheitsgarantien und Sicherheitsverbindlichkeiten. Der Sicherheitsvertrag kann Ihnen helfen, Ihre Interessen und Rechte zu schützen und den Anbieter oder Entwickler für die Sicherheit der Webanwendung verantwortlich zu machen.

Wenn Sie diese Schritte und Techniken befolgen, können Sie Sicherheitsrisiken für Webanwendungen während der Beschaffung identifizieren und fundierte Entscheidungen über die Webanwendung treffen, die Ihren Anforderungen und Erwartungen entspricht. Sie können auch die Wahrscheinlichkeit von Sicherheitsverletzungen, Datenverlusten, Funktionsproblemen oder Reputationsschäden aufgrund von Sicherheitsrisiken für Webanwendungen verringern.

Fügen Sie Ihre Sichtweise hinzu

Nitin Umesh

Masters (InfoSec) - Indian Institute of Information Technology) | PhD prs.- Cyber Threat (Lincoln University) | CISA | CRISC | CISM | CEH | ISO27001:2022 LA | PMP
Beitrag melden
Don't just build, secure! Before finalizing your web app, negotiate an ironclad security contract. This legal shield defines roles, expectations, and your rights. Think standards, audits, documentation, breach response, updates, and liabilities. By securing your interests upfront, you reduce risks, protect data, and ensure a peaceful, breach-proof future for your app. #SecureDevelopment #NegotiateSmart #ProtectYourData

Übersetzt

Gefällt mir

Nicht hilfreich

6 Hier erfahren Sie, was Sie sonst noch beachten sollten

Dies ist ein Bereich, in dem Beispiele, Geschichten oder Erkenntnisse geteilt werden können, die in keinen der vorherigen Abschnitte passen. Was möchten Sie noch hinzufügen?

Fügen Sie Ihre Sichtweise hinzu

Yogendar Kumar

Ex-Amazon | PMP | CISSP | CISM | CISA | CDPSE | CPISI | AWS Cloud SS | MS Azure SE |
Beitrag melden
1. Clearly define organization's security requirements and expectations for the web application. 2. Conduct thorough due diligence to assess vendor reputation, track record, security practices, and compliance with relevant standards and regulations. 3. Request and review the vendor's security documentation, including security policies, procedures, and incident response plans. 4. Evaluate security features such as authentication mechanisms, authorization controls, encryption of sensitive data, input validation, session management, and secure coding practices. 5. Ensure application incorporates security best practices and mitigations for common vulnerabilities such as SQL injection, XSS, and insecure direct object references.

Übersetzt

Gefällt mir

Nicht hilfreich
Lucas Schumacher

Cyber Security Analyst | Pentester | IT Risk Management | Data Protection | ISMS Auditor
Beitrag melden
It is advisable to test a new web application in a test environment before it goes live. A test environment, also referred to as a sandbox, allows the application to be tested in an isolated environment without the risk of impacting live operations.

Übersetzt

Gefällt mir

Nicht hilfreich

Informationssicherheit

+ Folgen

Diesen Artikel bewerten

Wir haben diesen Artikel mithilfe von KI erstellt. Wie finden Sie ihn?

Sehr gut Geht so

Diesen Artikel melden

Alle anzeigen

Wie können Sie Sicherheitsrisiken für Webanwendungen bei der Beschaffung identifizieren?

1

2

3

4

5

6

1 Verstehen Sie Ihre Anforderungen

2 Recherchieren Sie den Anbieter oder Entwickler

3 Anfordern eines Sicherheitsaudits oder -tests

4 Lesen Sie die Sicherheitsdokumentation

5 Verhandeln Sie den Sicherheitsvertrag

6 Hier erfahren Sie, was Sie sonst noch beachten sollten

Informationssicherheit

Diesen Artikel bewerten

Vielen Dank für Ihr Feedback

Weitere Artikel zu Informationssicherheit

Relevantere Lektüre

Wie können Sie Sicherheitsrisiken für Webanwendungen bei der Beschaffung identifizieren?

1

2

3

4

5

6

1 Verstehen Sie Ihre Anforderungen

2 Recherchieren Sie den Anbieter oder Entwickler

3 Anfordern eines Sicherheitsaudits oder -tests

4 Lesen Sie die Sicherheitsdokumentation

5 Verhandeln Sie den Sicherheitsvertrag

6 Hier erfahren Sie, was Sie sonst noch beachten sollten

Informationssicherheit

Diesen Artikel bewerten

Vielen Dank für Ihr Feedback

Andere Kenntnisse ansehen