Уики за защитен код: Мрежа от добри практики за сигурно кодиране

Уики за защитен код: Мрежа от добри практики за сигурно кодиране

Уики за защитен код: Мрежа от добри практики за сигурно кодиране

За напредъка на Знания и образование, А Науката и технологиите Като цяло, винаги е било от първостепенно значение прилагането на по-добри и по-ефективни действия, мерки или препоръки (Добри практики) за постигане на крайната цел на, реализирам всяка дейност или процес.

И програмиране о ел Разработване на софтуер Както всяка друга ИТ и професионална дейност, тя има своя собствена "Добри практики" свързани с много сфери, особено тези, свързани с Кибер защита на произведените софтуерни продукти. И в този пост ще ви представим някои «Добри практики за сигурно кодиране », от интересен и полезен уебсайт, наречен „Уики за защитен код“, толкова за Платформи за развитие безплатни и отворени, като частни и затворени.

Лицензи за разработване на свободен и отворен софтуер: добри практики

Лицензи за разработване на свободен и отворен софтуер: добри практики

Преди да влезем в темата, както обикновено, ще оставим по-късно някои връзки към предишни публикации, свързани с темата на «Добри практики в програмирането или разработването на софтуер ».

"... Добри практики, замислени и разпространявани от "Кодекс за инициатива за развитие" на Междуамериканската банка за развитие, за обхвата на Лицензен софтуер, които трябва да се вземат при разработването на софтуерни продукти (цифрови инструменти), особено безплатни и отворени." Лицензи за разработване на свободен и отворен софтуер: добри практики

Лицензи за разработване на свободен и отворен софтуер: добри практики
Свързана статия:
Лицензи за разработване на свободен и отворен софтуер: добри практики
Техническо качество: Добри практики в разработването на свободен софтуер
Свързана статия:
Техническо качество: Добри практики в разработването на свободен софтуер
Документация: Добри практики за разработване на безплатен и отворен софтуер
Свързана статия:
Добри практики за разработване на безплатен и отворен софтуер: Документация

Уики за защитен код: Добри практики за сигурно кодиране

Уики за защитен код: Добри практики за сигурно кодиране

Какво представлява Wiki със защитен код?

Както се казва в текста му място:

"Secure Code Wiki е кулминацията на практиките за сигурно кодиране за широк спектър от езици."

И вие сте добри практики и уебсайта на „Уики за защитен код“ са създадени и поддържани от индийска организация, наречена Паяту.

Примери за добри практики по видове езици за програмиране

Тъй като уебсайтът е на английски, ще покажем някои примери за сигурно кодиране за различни програмни езици, някои безплатни и отворени, а други частни и затворени, предлагани от посочения уебсайт за изследвайте потенциала и качеството на съдържанието зареден.

Освен това е важно да се подчертае това Добри практики показва на Платформи за развитие следното:

  • . NET
  • Ява
  • Java за Android
  • Kotlin
  • NodeJS
  • Цел В
  • PHP
  • Питон
  • Рубин
  • Swift
  • WordPress

Те са разделени в следните категории за настолни езици:

  • А1 - Инжектиране (Инжекция)
  • A2 - Удостоверението е нарушено (Счупено удостоверяване)
  • A3 - Излагане на чувствителни данни (Излагане на чувствителни данни)
  • A4 - XML ​​външни обекти (XML външни обекти / XXE)
  • A5 - Неправилен контрол на достъпа (Счупен контрол на достъпа)
  • A6 - Деконфигуриране на сигурността (Погрешна конфигурация на защитата)
  • A7 - Скриптиране на различни сайтове (Скриптиране между сайтове / XSS)
  • A8 - Несигурна десериализация (Несигурна десериализация)
  • A9 - Използване на компоненти с известни уязвимости (Използване на компоненти с известни уязвимости)
  • A10 - Недостатъчна регистрация и надзор (Недостатъчно регистриране и наблюдение)

И също така разделени в следните категории за мобилни езици:

  • M1 - Неправилно използване на платформата (Неправилно използване на платформата)
  • M2 - Несигурно съхранение на данни (Несигурно съхранение на данни)
  • M3 - Несигурна комуникация (Несигурна комуникация)
  • M4 - Несигурно удостоверяване (Несигурно удостоверяване)
  • M5 - Недостатъчна криптография (Недостатъчна криптография)
  • M6 - Небезопасно разрешение (Несигурно разрешение)
  • M7 - Качество на клиентския код (Качество на клиентския код)
  • M8 - Манипулация с код (Подправяне на код)
  • M9 - Обратно инженерство (Обратно инженерство)
  • M10 - Странна функционалност (Чужда функционалност)

Пример 1: .Net (A1- инжекция)

Използването на обектно релационно картографиране (ORM) или съхранени процедури е най-ефективният начин за противодействие на уязвимостта на SQL инжектирането.

Пример 2: Java (A2 - Удостоверението е нарушено)

Винаги, когато е възможно, внедрете многофакторно удостоверяване, за да предотвратите автоматизирано пълнене на идентификационни данни, груба сила и повторно използване на атаки срещу откраднати идентификационни данни.

Пример 3: Java за Android (M3 - Несигурна комуникация)

Наложително е да приложите SSL / TLS към транспортните канали, използвани от мобилното приложение за предаване на чувствителна информация, сесийни токени или други чувствителни данни към бекенд API или уеб услуга.

Пример 4: Kotlin (M4 - Несигурно удостоверяване)

Избягвайте слабите модели

Пример 5: NodeJS (A5 - Контрол на лошия достъп)

Контролите за достъп на модела трябва да налагат собствеността върху записите, вместо да позволяват на потребителя да създава, чете, актуализира или изтрива какъвто и да е запис.

Пример 6: Цел C (M6 - Разрешението е несигурно)

Приложенията трябва да избягват използването на предполагаеми числа като идентификационна справка.

Пример 7: PHP (A7 - скриптове между сайтове)

Кодирайте всички специални знаци с помощта на htmlspecialchars () или htmlentities () [ако е в html таговете].

Пример 8: Python (A8 - Несигурна десериализация)

Модулът pickle и jsonpickle не е безопасен, никога не го използвайте за десериализиране на ненадеждни данни.

Пример 9: Python (A9 - Използване на компоненти с известни уязвимости)

Стартирайте приложението с най-малко привилегирован потребител

Пример 10: Суифт (M10 - Странна функционалност)

Премахнете скритата функционалност на задната вратичка или други вътрешни контроли за сигурност на разработката, които не са предназначени да бъдат пуснати в производствена среда.

Пример 11: WordPress (деактивиране на XML-RPC)

XML-RPC е функция на WordPress, която позволява трансфер на данни между WordPress и други системи. Днес той е заменен до голяма степен от REST API, но все още е включен в инсталациите за обратна съвместимост. Ако е активиран в WordPress, нападателят може да изпълнява груба сила, pingback (SSRF) атаки, наред с други.

Общо изображение за заключения на статията

Заключение

Надяваме се това "полезен малък пост" за уебсайта, наречен «Secure Code Wiki», който предлага ценно съдържание, свързано с «Добри практики за сигурно кодиране »; представлява голям интерес и полезност, като цяло «Comunidad de Software Libre y Código Abierto» и от голям принос за разпространението на прекрасната, гигантска и нарастваща екосистема от приложения на «GNU/Linux».

Засега, ако това ви е харесало publicación, Не спирай споделете го с други хора, на любимите ви уебсайтове, канали, групи или общности от социални мрежи или системи за съобщения, за предпочитане безплатни, отворени и / или по-сигурни като TelegramСигналМастодон или друг от Fediverse, за предпочитане.

И не забравяйте да посетите нашата начална страница на адрес «DesdeLinux» за да изследвате още новини, както и да се присъедините към официалния ни канал на Телеграма на DesdeLinuxДокато за повече информация можете да посетите всеки Онлайн библиотека като OpenLibra y едит, за достъп и четене на цифрови книги (PDF файлове) по тази тема или други.


Коментар, оставете своя

Оставете вашия коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *

*

*

  1. Отговорен за данните: Мигел Анхел Гатон
  2. Предназначение на данните: Контрол на СПАМ, управление на коментари.
  3. Легитимация: Вашето съгласие
  4. Съобщаване на данните: Данните няма да бъдат съобщени на трети страни, освен по законово задължение.
  5. Съхранение на данни: База данни, хоствана от Occentus Networks (ЕС)
  6. Права: По всяко време можете да ограничите, възстановите и изтриете информацията си.

  1.   луикс каза той

    Интересна статия, тя трябва да бъде задължителна за всеки разработчик ..