- В исходном коде проекта нет доступов к внешним и внутренним ресурсам
- Все внешние эндпоинты спрятаны под SSL
- Все внутренние эндпоинты недоступны из вне
- Для всех приватных эндпоинтов настроена и работает авторизация/аутентификация
- Пользовательский ввод экранируется, фильтруется и валидируется
- Секретные аутентификационные данные не храняться в открытом виде
- Все пароли захэшированны современными криптостойкими алгоритмами
- Вы готовы к попыткам попробовать на прочность ваши API большим количеством запросов
- В ваших cookie-файлах правильно выставлены все атрибуты безопасности
- Правильно настроены CORS-заголовки
- Используется HSTS для внешних эндпоинтов
- Настроена Content Security Policy
- При возможности получить через API локальные файлы сервера по их именам, пользователь не может получить ничего лишнего
- При наличии функционала загрузки файлов, запрещено их исполнение
- На все файлы проекта выставлены подходящие разрешения
- Проект проверен автоматическими анализаторами качества и безопасности кода
- Для генерации токенов, подписей, прочих кодов используются современные криптостойкие алгоритмы
- Настроено логирование и система оповещения об ошибках
- Боевое окружение полностью отделено от тестовых на сетевом уровне
- Установлены требования к безопасности паролей
- На сетевом уровне установлены ограничения ко всем административным интерфейсам управления
- Проводится регулярный мониторинг появления новых уязвимостей в используемых зависимостях и их обновление