Secure Code Wiki: شبكة من الممارسات الجيدة للترميز الآمن

للنهوض المعرفة والتعليمو العلوم والتكنولوجيا بشكل عام ، كان تنفيذ برنامج إجراءات أفضل وأكثر فعاليةأو التدابير أو التوصيات (الممارسات الجيدة) لتحقيق الهدف النهائي ، تؤتي ثمارها أي نشاط أو عملية.

و برمجة أو تطوير البرمجيات مثل أي نشاط احترافي آخر ، له نشاطه الخاص "الممارسات الجيدة" المرتبطة بالعديد من المجالات ، وخاصة تلك المتعلقة الأمن الإلكتروني من منتجات البرمجيات المنتجة. وفي هذا المنشور سوف نقدم بعض «ممارسات التشفير الآمنة الجيدة »، من موقع مثير للاهتمام ومفيد يسمى "ويكي الرمز الآمن"، الكثير عنه منصات التطوير مجاني ومفتوح ، خاص ومغلق.

قبل الدخول في الموضوع ، كالعادة ، سنترك لاحقًا بعض الروابط إلى المنشورات السابقة المتعلقة بموضوع «الممارسات الجيدة في البرمجة أو تطوير البرمجيات ».

"... الممارسات الجيدة التي تصورها ونشرتها "مبادرة كود التنمية" من بنك التنمية للبلدان الأمريكية ، في نطاق برنامج الترخيص، والتي يجب أن تؤخذ عند تطوير منتجات برمجية (أدوات رقمية) ، خاصة الحرة والمفتوحة." تراخيص تطوير البرمجيات الحرة والمفتوحة: الممارسات الجيدة

المادة ذات الصلة:

تراخيص تطوير البرمجيات الحرة والمفتوحة: الممارسات الجيدة

المادة ذات الصلة:

الجودة التقنية: الممارسات الجيدة في تطوير البرمجيات الحرة

المادة ذات الصلة:

الممارسات الجيدة لتطوير البرمجيات الحرة والمفتوحة: التوثيق

Secure Code Wiki: ممارسات تشفير آمنة جيدة

ما هو Secure Code Wiki؟

كما يقول نصه موقع:

"يعد Secure Code Wiki تتويجًا لممارسات الترميز الآمن لمجموعة واسعة من اللغات."

و انت الممارسات الجيدة وموقع "ويكي الرمز الآمن" تم إنشاؤها وصيانتها بواسطة منظمة هندية تسمى باياتوس.

أمثلة على الممارسات الجيدة حسب أنواع لغات البرمجة

نظرًا لأن الموقع باللغة الإنجليزية ، فسوف نعرض بعضًا منه أمثلة على الترميز الآمن حول مختلف لغات البرمجة، بعضها مجاني ومفتوح ، والبعض الآخر خاص ومغلق ، يعرضه موقع الويب المذكور لـ استكشاف إمكانات وجودة المحتوى محمل.

بالإضافة إلى ذلك ، من المهم تسليط الضوء على ذلك الممارسات الجيدة المعروضة على منصات التطوير التالية:

• . NET
• جافا
• جافا للأندرويد
• كوتلن
• NodeJS
• الهدف C
• PHP
• بايثون
• روبي
• سويفت
• WordPress

وهي مقسمة إلى الفئات التالية للغات سطح المكتب:

• A1 - الحقن (حقنة)
• A2 - المصادقة معطلة (كسر المصادقة)
• A3 - التعرض لبيانات حساسة (التعرض للبيانات الحساسة)
• A4 - كيانات XML الخارجية (كيانات XML الخارجية / XXE)
• A5 - خلل في التحكم في الوصول (كسر التحكم في الوصول)
• A6 - إلغاء تكوين الأمان (خطأ في التكوين الأمني)
• A7 - البرمجة النصية عبر الموقع (البرمجة النصية عبر المواقع / XSS)
• A8 - إلغاء التسلسل غير الآمن (إزالة التسلسل غير الآمن)
• A9 - استخدام المكونات ذات الثغرات الأمنية المعروفة (استخدام المكونات ذات الثغرات الأمنية المعروفة)
• A10 - التسجيل والإشراف غير كافيين (التسجيل والمراقبة غير كافيين)

وتنقسم أيضًا إلى الفئات التالية للغات الجوال:

• M1 - الاستخدام غير السليم للمنصة (استخدام غير لائق للمنصة)
• M2 - تخزين البيانات غير الآمن (تخزين بيانات غير آمن)
• M3 - اتصال غير آمن (اتصال غير آمن)
• M4 - مصادقة غير آمنة (مصادقة غير آمنة)
• M5 - التشفير غير الكافي (تشفير غير كاف)
• M6 - إذن غير آمن (تصريح غير آمن)
• M7 - جودة رمز العميل (جودة كود العميل)
• M8 - التلاعب بالكود (رمز العبث)
• M9 - الهندسة العكسية (الهندسة العكسية)
• M10 - وظائف غريبة (وظائف غريبة)

مثال 1: صافي (A1- حقن)

يعد استخدام مخطط ارتباط الكائن (ORM) أو الإجراءات المخزنة هو الطريقة الأكثر فاعلية لمواجهة الثغرة الأمنية لحقن SQL.

مثال 2: Java (A2 - المصادقة معطلة)

حيثما أمكن ، قم بتنفيذ المصادقة متعددة العوامل لمنع حشو بيانات الاعتماد الآلي والقوة الغاشمة وإعادة استخدام بيانات الاعتماد المسروقة.

مثال 3: Java لنظام Android (M3 - اتصال غير آمن)

من الضروري تطبيق SSL / TLS على قنوات النقل التي يستخدمها تطبيق الهاتف المحمول لنقل المعلومات الحساسة أو الرموز المميزة للجلسة أو البيانات الحساسة الأخرى إلى واجهة برمجة تطبيقات خلفية أو خدمة ويب.

مثال 4: Kotlin (M4 - المصادقة غير الآمنة)

تجنب الأنماط الضعيفة

مثال 5: NodeJS (A5 - تحكم وصول غير صالح)

يجب أن تفرض عناصر التحكم في الوصول الخاصة بالنموذج ملكية السجلات ، بدلاً من السماح للمستخدم بإنشاء أي سجل أو قراءته أو تحديثه أو حذفه.

مثال 6: الهدف ج (M6 - التفويض غير آمن)

يجب على التطبيقات تجنب استخدام الأرقام القابلة للتخمين كمرجع تعريف.

المثال 7: PHP (A7 - Cross Site Scripting)

قم بترميز جميع الأحرف الخاصة باستخدام htmlspecialchars () أو htmlentities () [إذا كانت ضمن علامات html].

مثال 8: بايثون (A8 - إلغاء التسلسل غير الآمن)

وحدة pickle و jsonpickle ليست آمنة ، ولا تستخدمها مطلقًا لإلغاء تسلسل البيانات غير الموثوق بها.

مثال 9: Python (A9 - استخدام المكونات ذات الثغرات الأمنية المعروفة)

قم بتشغيل التطبيق مع المستخدم الأقل امتيازًا

مثال 10: Swift (M10 - وظائف غريبة)

قم بإزالة وظائف الباب الخلفي المخفية أو غيرها من ضوابط أمان التطوير الداخلي التي لا يُقصد إصدارها في بيئة الإنتاج

مثال 11: WordPress (XML-RPC Disable)

XML-RPC هي إحدى ميزات WordPress التي تتيح نقل البيانات بين WordPress والأنظمة الأخرى. اليوم تم استبدالها إلى حد كبير بواجهة برمجة تطبيقات REST ، لكنها لا تزال مضمنة في التثبيتات من أجل التوافق مع الإصدارات السابقة. إذا تم تمكينه في WordPress ، يمكن للمهاجم تنفيذ هجمات القوة الغاشمة ، وهجمات pingback (SSRF) ، من بين أمور أخرى.

اختتام

نأمل هذا "وظيفة صغيرة مفيدة" عن الموقع يسمى «Secure Code Wiki», التي تقدم محتوى قيمًا متعلقًا بـ «ممارسات التشفير الآمنة الجيدة »؛ ذات فائدة وفائدة كبيرين للجميع «Comunidad de Software Libre y Código Abierto» ومساهمة كبيرة في نشر النظام البيئي الرائع والعملاق والمتنامي لتطبيقات «GNU/Linux».

في الوقت الحالي ، إذا أعجبك هذا publicación، لا تتوقف شاركه مع الآخرين ، على مواقع الويب أو القنوات أو المجموعات أو مجتمعات الشبكات الاجتماعية أو أنظمة المراسلة المفضلة لديك ، ويفضل أن تكون مجانية و / أو مفتوحة و / أو أكثر أمانًا تیلیجرام, سيجنل, المستودون حيوان بائد شبيه بالفيل أو آخر Fediverse، ويفضل.

وتذكر زيارة صفحتنا الرئيسية على «DesdeLinux» لاستكشاف المزيد من الأخبار ، وكذلك الانضمام إلى قناتنا الرسمية برقية من DesdeLinux. بينما ، لمزيد من المعلومات ، يمكنك زيارة أي مكتبة على الإنترنت كما OpenLibra y جيديت, للوصول إلى الكتب الرقمية وقراءتها (ملفات PDF) حول هذا الموضوع أو غيره.