Secure Code Wiki: Un web de bones pràctiques de codificació segura
Per l'avanç de l' Coneixement i l'Educació, I la Ciència i la Tecnologia en general, sempre ha estat molt important la implementació de les millors i més efectives accions, Mesures o recomanacions (Bones Pràctiques) per aconseguir la finalitat última de, realitzar a bon terme qualsevol activitat o procés.
I la programació o el Desenvolupament de Software com qualsevol altra activitat professional i TI, té les seves pròpies «Bones Pràctiques» associades a moltes esferes, sobretot el relacionat amb la ciberseguretat dels productes de programari elaborats. I en aquesta publicació presentarem algunes «Bones Pràctiques de Codificació Segura », De part una interessant i útil web anomenada «Secure Code Wiki», Tant sobre Plataformes de Desenvolupament lliures i obertes, com privatives i tancades.
Llicències per al desenvolupament de l'Programari Lliure i Obert: Bones pràctiques
Abans d'endinsar-nos en el tema, com de costum, deixarem més endavant alguns enllaços d'anteriors publicacions relacionades amb el tema de les «Bones Pràctiques en Programació o Desenvolupament de Software ».
"... Bones pràctiques concebudes i divulgades per la "Iniciativa Codi per al Desenvolupament" de el Banc Interamericà de Desenvolupament, sobre l'àmbit de llicenciar Programari, Que s'ha de dur a l'hora de desenvolupar productes de programari (eines digitals), sobretot lliures i oberts." Llicències per al desenvolupament de l'Programari Lliure i Obert: Bones pràctiques
Secure Code Wiki: Bones pràctiques de codificació segura
Què és Secure Code Wiki?
Tal com diu textualment la seva lloc web:
"Secure Code Wiki és una culminació de les pràctiques de codificació segura per a una àmplia gamma de llenguatges."
I estàs bones pràctiques i el lloc web de «Secure Code Wiki» han estat creats i mantinguts per una organització índia anomenada Payatu.
Exemples de Bones Pràctiques per tipus de Llenguatges de Programació
Atès que, el lloc web es troba en anglès, mostrarem alguns exemples de codificació segura sobre diversos llenguatges de programació, Alguns lliures i oberts, i altres privatius i tancats, oferts per aquest lloc web per explorar el potencial i la qualitat de l'contingut carregat.
A més, és important ressaltar que les bones Pràctiques mostren sobre les Plataformes de Desenvolupament següents:
- . NET
- Java
- Java For Android
- Kotlin
- NodeJS
- Objective C
- PHP
- Pitó
- Ruby
- Ràpid
- WordPress
Són dividides en les següents categories per Llenguatges d'Escriptori:
- A1 - Injecció (Injection)
- A2 - Autenticació trencada (Broken Authentication)
- A3 - Exposició de dades sensibles (Sensitive Data Exposure)
- A4 - Entitats externes XML (XML External Entities / XXè)
- A5 - Control d'accés defectuós (Broken Access Control)
- A6 - Desconfiguració de la seguretat (Security Misconfiguration)
- A7 - Seqüència de comandaments en llocs creuats (Cross-Site Scripting / XSS)
- A8 - deserialització insegura (Insecure Deserialization)
- A9 - Ús de components amb vulnerabilitats conegudes (Using Components with Known Vulnerabilities)
- A10 - Registre i supervisió insuficients (Insufficient Logging & Monitoring)
I també dividides en les següents categories per Llenguatges Mòbils:
- M1 - Ús inadequat de la plataforma (Improper Platform Usage)
- M2 - Emmagatzematge insegur de dades (Insecure Data Storage)
- M3 - Comunicació insegura (Insecure Communication)
- M4 - Autenticació insegura (Insecure Authentication)
- M5 - Criptografia insuficient (Insufficient Cryptography)
- M6 - Autorització insegura (Insecure Authorization)
- M7 - Qualitat de el codi de client (Client Code Quality)
- M8 - Manipulació de el codi (Code tampering)
- M9 - Enginyeria inversa (Reverse Engineering)
- M10 - Funcionalitat estranya (Extraneous Functionality)
Exemple 1: .Net (A1- Injecció)
L'ús d'un mapeador relacional d'objectes (ORM) o de procediments emmagatzemats és la forma més eficaç de contrarestar la vulnerabilitat d'injecció SQL.
Exemple 2: Java (A2 - Autenticació trencada)
En la mesura del possible, implementi l'autenticació multifactorial per evitar atacs automatitzats, de farciment de credencials, de força bruta i de reutilització de credencials robades.
Exemple 3: Java For Android (M3 - Comunicació insegura)
És imprescindible aplicar SSL / TLS als canals de transport utilitzats per l'aplicació mòbil per a transmetre informació sensible, tokens de sessió o altres dades sensibles a una API backend o servei web.
Exemple 4: Kotlin (M4 - Autenticació insegura)
Eviti els patrons febles
Exemple 5: NodeJS (A5 - Control d'accés defectuós)
Els controls d'accés de el model han d'imposar la propietat dels registres, en lloc d'acceptar que l'usuari pugui crear, llegir, actualitzar o suprimir qualsevol registre.
Exemple 6: Objective C (M6 - Autorització insegura)
Les aplicacions han d'evitar l'ús de nombres adivinables com a referència d'identificació.
Exemple 7: PHP (A7 - Seqüència de comandaments en llocs creuats)
Codifica tots els caràcters especials utilitzant htmlspecialchars () o htmlentities () [si està dins de les etiquetes html].
Exemple 8: Python (A8 - deserialització insegura)
El mòdul pickle i jsonpickle no és segur, mai ho facis servir per deserializar dades no fiables.
Exemple 9: Python (A9 - Ús de components amb vulnerabilitats conegudes)
Executar l'aplicació amb l'usuari amb menys privilegis
Exemple 10: Swift (M10 - Funcionalitat estranya)
Eliminar la funcionalitat de porta del darrere oculta o altres controls de seguretat interns de desenvolupament que no estan destinats a ser alliberats en un entorn de producció.
Exemple 11: WordPress (XML-RPC Disable)
XML-RPC és una funció de WordPress que permet la transferència de dades entre WordPress i altres sistemes. En l'actualitat ha estat substituïda en gran mesura per l'API REST, però encara s'inclou en les instal·lacions per compatibilitat amb versions anteriors. Si està activat en WordPress, un atacant pot realitzar atacs de força bruta, pingback (SSRF), entre d'altres.
Conclusió
Esperem que aquesta "petita i útil publicació" sobre el lloc web anomenat «Secure Code Wiki», el qual ofereix un valuós contingut relacionat amb les «Bones Pràctiques de Codificació Segura »; sigui de molt interès i utilitat, per a tota la «Comunidad de Software Libre y Código Abierto» i de gran contribució a la difusió de l'meravellós, gegantí i creixent ecosistema d'aplicacions de «GNU/Linux».
Per ara, si t'ha agradat aquesta publicación, No deixis de compartir amb d'altres, en els teus llocs web, canals, grups o comunitats favorites de xarxes socials o sistemes de missatgeria, preferiblement lliures, obertes i / o més segures com telegram, Senyal, Mastodon o una altra de l' Fedivers, Preferiblement.
I recorda visitar la nostra pàgina d'inici en «DesdeLinux» per explorar més notícies, a més d'unir-te al nostre canal oficial de Telegram de DesdeLinux. Mentre que, per a més informació, pots visitar qualsevol Biblioteca en línia com a OpenLibra y jEdit, per accedir i llegir llibres digitals (PDFs) sobre aquest tema o altres.
Interessant article, hauria de ser obligatori per a tot developer ..