【不叫賭俠的陳小刀】評論
(B) 建立與使用第三方的開源函式庫,或是使用已完成 的元件-->建立和使用安全設計模式庫或準備好使用組件的道路
【0xadam】評論
OWASP Top 10:2021 中的 A04:2021-Insecure Design 指向了由於缺乏或不適當的設計而造成的安全漏洞。選項解釋如下:(A) 建立和使用安全開發生命週期並且與應用程式安全的專家合作來評估和設計安全和隱私相關的控制措施。這是一個非常好的做法,因為它確保在開發過程中考慮到安全性。(B) 建立和使用第三方的開源函式庫,或是使用已完成的元件。這可能是風險的,因為如果沒有對這些開源函式庫進行恰當的審核,可能會引入不安全的設計或漏洞。(C) 使用威脅建模在關鍵的認證、存取控制、商業邏輯以及關鍵缺陷上。這是一個好的做法,因為它確保了在設計階段考慮到安全威脅。(D) 撰寫單元測試與整合測試以確保所有的關鍵流程對威脅建模都有反應。這也是一個好的做法,因為這確保了設計的安全性。因此,從上述的選項中,最不適當的控制措施為 (B) 建立和使用第三方的開源函式庫,或是使用已完成的元件。