Kas yra programų saugumas ir kodėl tai svarbu?

Question

Accepted Answer

**Programų saugumas** yra praktika, skirta apsaugoti programinę įrangą nuo **grėsmių** — kurti ir prižiūrėti programas, kad jos atsispirtų atakoms, apsaugotų duomenis ir elgtųsi saugiai. Tai svarbu, nes saugumo pažeidimai turi sunkias pasekmes: duomenų vagystę, finansinį nuostolį ir sugriaustą pasitikėjimą.

## Ką apima programų saugumas

```text
App security = protecting software and its data from threats throughout the lifecycle:
  → secure CODING (avoid vulnerabilities like injection, XSS)
  → AUTHENTICATION (who are you?) and AUTHORIZATION (what can you do?)
  → protecting DATA (encryption in transit and at rest)
  → input VALIDATION, secure configuration, dependency security, etc.
→ "Security" is a quality of the whole system, not a single feature.
```

## Kodėl saugumas svarbus

```text
✓ Breaches are SEVERE — stolen data (personal, financial), financial loss, downtime
✓ TRUST & reputation — a breach damages user trust and the company's reputation
✓ LEGAL/compliance — regulations (GDPR, etc.) require protecting data; fines for failures
✓ Attacks are CONSTANT — apps are continuously targeted (automated attacks, bots)
→ Security failures are among the most costly and damaging problems software can have.
```

## Saugumas yra visų atsakomybė

```text
→ Not just a "security team" concern — DEVELOPERS write the code that's secure or not
→ Build security IN (secure by design), don't bolt it on at the end
→ SHIFT LEFT — consider security throughout development (not an afterthought)
→ Defense in DEPTH — multiple layers (no single point of failure)
```

## Kodėl tai svarbu

Supratimas apie programų saugumą ir kodėl tai svarbu yra pagrindinis, plačiai taikytinas žinias, nes saugumas yra kritinis programinės įrangos kokybės aspektas, turintis sunkias pasekmes, kai jis nepaisomas, ir tai vis dažniau yra visų kūrėjų atsakomybė.

Programų saugumas — **apsaugant programinę įrangą ir jos duomenis nuo grėsmių** per visą gyvavimo ciklą, apimant saugų kodavimą, autentifikaciją ir autorizaciją, duomenų apsaugą, įvesties validaciją ir daugiau — yra visos sistemos kokybė, o ne viena funkcija, ir suprasti šią plačią apimtį yra pradžia.

Supratimas, **kodėl saugumas svarbus**, yra esminė motyvacija: pažeidimai yra **sunkūs** (pavogti asmeniniai ir finansiniai duomenys, finansinis nuostolis, neveiklumas), jie kenkia **pasitikėjimui ir reputacijai**, yra **teisiniai ir atitikties reikalavimai** (nuostatai, tokie kaip GDPR, su baudomis už nesėkmes), ir programos susiduria su **nuolatinėmis atakomis** (automatinėmis ir nuolatinėmis) — dėl ko saugumo nesėkmės yra tarp pačių brangiausiųjų ir dažniausiai žalojančių problemų, kurias gali turėti programinė įranga.

Supratimas, kad **saugumas yra visų atsakomybė** (ne tik saugumo komandos — kūrėjai rašo kodą, kuris yra arba nėra saugus), kad jis turėtų būti **integruotas (saugus pagal dizainą)** o ne prireikalui pridėtas, kad turėtumėte **pasislinkti į kairę** (svarstyti saugumą visame kūrimo procese, o ne vėliau), ir kad **apsauga iš kelių sluoksnių** (kelios linijos) reikalinga — atspindi šiuolaikinį, teisingą saugumo požiūrį.

Kadangi saugumas yra kritinė kokybė su sunkiomis pasekmėmis (pažeidimai, duomenų vagystė, teisinė atsakomybė, prarastas pasitikėjimas) ir vis dažniau yra visų kūrėjų atsakomybė (kurie turi integruoti saugumą), ir kadangi supratimas, kas yra programų saugumas, kodėl tai svarbu ir principas, kad tai yra visų atsakomybė, yra pagrindinis norint kurti saugią programinę įrangą, supratimas apie programų saugumą yra esminės, plačiai taikomos žinios — pagrindinė programinės įrangos kokybės aspektas su didelėmis statykomis, vis dažniau tikimasi iš visų kūrėjų, ir pagrindas konkrečioms saugumo temoms, esmingas kuriant programinę įrangą, kuri apsaugo jos naudotojus ir duomenis.