PengantarArtikel kali ini kita akan membahas owasp top 10 yang ada di urutan ke delapan untuk tahun 2021 (owasp tiap 4 tahun sekali), ialah Software and Data Integrity Failures.OWASP merupakan singkatan dari Open Web Application Security Project, yang merupakan sebuah project Security Web Application open source yang diperkasai oleh para penggiat teknologi atau pengembang aplikasi, OWASP sering mengadakan seminar, forum diskusi serta pendidikan untuk para Developer.jadi yang dimaksud OWASP TOP 10? owasp top 10 merupakan sebuah cara untuk mengkategorikan resiko kerentanan yang sering terjadi pada sebuah aplikasi berbasis website, dari yang paling atas (resiko tertinggi) hingga yang paling bawah (tingkat resiko rendah), Tujuannya apa ?, tentu saja ini sangat berguna bagi para developer aplikasi supaya mereka jadi lebih aware terhadap kerentanan di aplikasi mereka.Software and Data Integrity FailuresApa itu Software and Data Integrity Failures ?Software and Data Integrity Failures merupakan sebuah kegagalan software atau aplikasi yang bekerja untuk memeriksa aplikasi integritas sebuah aplikasi.CWE-829: Inclusion of Functionality from Untrusted Control SphereCWE-494: Download of Code Without Integrity CheckCWE-502: Deserialization of Untrusted Data.Gagalnya Menjaga Integritas Data dan Perangkat Lunak disebabkan oleh kode dan infrastruktur yang tidak mencegah terjadinya pelanggaran integritas. Contohnya sebuah objek/data yang telah di enkoding/diserialisasi di dalam struktur yang dapat dilihat dan dimodifikasi oleh penyerang rentan terhadap deserialisasi yang tidak aman.Contoh lainnya adalah aplikasi yang bergantung pada plugins, libraries, atau modules yang asalnya dari sumber yang tidak dipercaya, repositori - repositori, Content Delivery Network (CDNs). CI/CD Pipeline yang tidak aman dapat menyebabkan munculnya akses illegal/tidak sah, kode yang berbahaya, atau kerusakan sistem.Terakhir, aplikasi sekarang banyak yang memiliki fitur pembaharuan otomatis, yang dimana pembaharuan - pembaharuan yang ada diunduh tanpa adanya verifikasi integritas dan diterapkan/digunakan terhadap aplikasi yang sebelumnya terpercaya. Penyerang memiliki kemungkinan besar untuk mengunggah pembaharuan milik mereka sendiri untuk di distribusikan dan dijalankan/diterapkan pada semua instalasi/pembaharuan.PraktikalA08:2021 – Software and Data Integrity Failures- ExplainedMitigasimenggunakan signature atau mechanism untuk memverifikasimenggunakan libaries dan depedencies yang terpercayaReferensiOWASP Cheat Sheet: Infrastructure as CodeOWASP Cheat Sheet: DeserializationSAFECode Software Integrity ControlsA ‘Worst Nightmare’ Cyberattack: The Untold Story Of The SolarWinds HackCodeCov Bash Uploader CompromiseSecuring DevOps by Julien VehentBeberapa Kerentanan lain di list CWECWE-345 Insufficient Verification of Data AuthenticityCWE-353 Missing Support for Integrity CheckCWE-426 Untrusted Search PathCWE-494 Download of Code Without Integrity CheckCWE-502 Deserialization of Untrusted DataCWE-565 Reliance on Cookies without Validation and Integrity CheckingCWE-784 Reliance on Cookies without Validation and Integrity Checking in a Security DecisionCWE-829 Inclusion of Functionality from Untrusted Control SphereCWE-830 Inclusion of Web Functionality from an Untrusted SourceCWE-915 Improperly Controlled Modification of Dynamically-Determined Object Attributes