Secure Code Wiki: Web osvědčených postupů bezpečného kódování

Linux Post Install

6 minut

Secure Code Wiki: Web osvědčených postupů bezpečného kódování

Secure Code Wiki: Web osvědčených postupů bezpečného kódování

Za povýšení Znalosti a vzdělání, A Věda a technika Obecně bylo vždy nanejvýš důležité provádění lepší a efektivnější akce, opatření nebo doporučení (Osvědčené postupy) dosáhnout konečného cíle, uskutečnit jakoukoli činnost nebo proces.

A programování nebo Vývoj softwaru Jako každá jiná IT a profesionální činnost má i svoji vlastní „Osvědčené postupy“ spojené s mnoha oblastmi, zejména s oblastmi souvisejícími s Kybernetická bezpečnost produkovaných softwarových produktů. A v tomto příspěvku některé představíme «Osvědčené postupy bezpečného kódování », ze zajímavého a užitečného webu s názvem „Secure Code Wiki“, tolik o Vývojové platformy zdarma a otevřené, jako soukromé a uzavřené.

Licence na vývoj svobodného a otevřeného softwaru: Osvědčené postupy

Licence na vývoj svobodného a otevřeného softwaru: Osvědčené postupy

Než se do předmětu pustíme, jako obvykle, necháme později několik odkazů na předchozí publikace týkající se tématu «Osvědčené postupy při programování nebo vývoji softwaru ».

"… Osvědčené postupy koncipované a šířené "Kodex pro rozvojovou iniciativu" Meziamerické rozvojové banky, o rozsahu Licenční software, které je třeba vzít v úvahu při vývoji softwarových produktů (digitálních nástrojů), zejména bezplatných a otevřených." Licence na vývoj svobodného a otevřeného softwaru: Osvědčené postupy

Licence na vývoj svobodného a otevřeného softwaru: Osvědčené postupy
Související článek:
Licence na vývoj svobodného a otevřeného softwaru: Osvědčené postupy
 Technická kvalita: Osvědčené postupy při vývoji svobodného softwaru
Související článek:
Technická kvalita: Osvědčené postupy při vývoji svobodného softwaru
 Dokumentace: Osvědčené postupy pro vývoj bezplatného a otevřeného softwaru
Související článek:
Osvědčené postupy pro vývoj bezplatného a otevřeného softwaru: dokumentace

Secure Code Wiki: Dobré postupy zabezpečeného kódování

Secure Code Wiki: Dobré postupy zabezpečeného kódování

Co je Secure Code Wiki?

Jak říká jeho text místo:

"Secure Code Wiki je vyvrcholením postupů bezpečného kódování pro širokou škálu jazyků."

A vy jste dobré praxe a webové stránky „Secure Code Wiki“ byly vytvořeny a udržovány indickou organizací s názvem Payatus.

Příklady osvědčených postupů podle typů programovacích jazyků

Protože je web v angličtině, některé si ukážeme příklady bezpečného kódování o různých programovacích jazyků, některé zdarma a otevřené a jiné soukromé a uzavřené, nabízené zmíněným webem pro prozkoumat potenciál a kvalitu obsahu načten.

Kromě toho je důležité to zdůraznit Osvědčené postupy zobrazené na Vývojové platformy Následující:

  • . NET
  • Jáva
  • Java pro Android
  • Kotlin
  • NodeJS
  • Cíl C
  • PHP
  • PYTHON
  • Rubín
  • Rychlý
  • WordPress

Jsou rozděleny do následujících kategorií pro stolní jazyky:

  • A1 - Vstřikování (Injekce)
  • A2 - Ověření přerušeno (Zlomené ověření)
  • A3 - Vystavení citlivých údajů (Citlivá expozice dat)
  • A4 - XML ​​externí entity (Externí entity XML / XXE)
  • A5 - Chybná kontrola přístupu (Zlomená kontrola přístupu)
  • A6 - Dekonfigurace zabezpečení (Nesprávná konfigurace zabezpečení)
  • A7 - Cross Site Scripting (Skriptování mezi weby / XSS)
  • A8 - Nejistá deserializace (Nejistá deserializace)
  • A9 - Použití komponent se známými chybami zabezpečení (Používání komponent se známými chybami zabezpečení)
  • A10 - Nedostatečná registrace a dohled (Nedostatečné protokolování a monitorování)

A také rozdělené do následujících kategorií pro mobilní jazyky:

  • M1 - Nesprávné použití platformy (Nesprávné použití platformy)
  • M2 - nezabezpečené úložiště dat (Nezabezpečené úložiště dat)
  • M3 - nezabezpečená komunikace (Nezabezpečená komunikace)
  • M4 - nezabezpečené ověřování (Nezabezpečené ověření)
  • M5 - Nedostatečná kryptografie (Nedostatečná kryptografie)
  • M6 - Nebezpečné povolení (Nejisté povolení)
  • M7 - kvalita kódu zákazníka (Kvalita klientského kódu)
  • M8 - Manipulace s kódem (Manipulace s kódem)
  • M9 - reverzní inženýrství (Reverzní inženýrství)
  • M10 - Zvláštní funkce (Cizí funkce)

Příklad 1: .Net (A1- Injection)

Nejúčinnějším způsobem, jak čelit zranitelnosti vložením SQL, je použití objektově relačního mapovače (ORM) nebo uložených procedur.

Příklad 2: Java (A2 - ověřování přerušeno)

Kdykoli je to možné, implementujte vícefaktorové ověřování, abyste zabránili automatizovanému naplnění pověření, hrubé síle a opětovnému použití útoků na odcizené pověření.

Příklad 3: Java pro Android (M3 - nezabezpečená komunikace)

Je nezbytně nutné použít SSL / TLS na transportní kanály používané mobilní aplikací k přenosu citlivých informací, tokenů relací nebo jiných citlivých dat do back-endového API nebo webové služby.

Příklad 4: Kotlin (M4 - nezabezpečené ověřování)

Vyhněte se slabým vzorům

Příklad 5: NodeJS (A5 - Bad Access Control)

Řízení přístupu modelu by mělo vynucovat vlastnictví záznamů, spíše než umožňovat uživateli vytvářet, číst, aktualizovat nebo mazat jakýkoli záznam.

Příklad 6: Cíl C (M6 - autorizace nejistá)

Aplikace by se měly vyhnout použití hádaných čísel jako identifikačního odkazu.

Příklad 7: PHP (A7 - Cross Site Scripting)

Zakódujte všechny speciální znaky pomocí htmlspecialchars () nebo htmlentities () [pokud je v html značkách].

Příklad 8: Python (A8 - nezabezpečená deserializace)

Modul pickle a jsonpickle není bezpečný, nikdy jej nepoužívejte k deserializaci nedůvěryhodných dat.

Příklad 9: Python (A9 - Použití komponent se známými chybami zabezpečení)

Spusťte aplikaci s nejméně privilegovaným uživatelem

Příklad 10: Swift (M10 - zvláštní funkce)

Odeberte skryté funkce backdooru nebo jiné interní ovládací prvky zabezpečení vývoje, které nejsou určeny k uvolnění v produkčním prostředí.

Příklad 11: WordPress (XML-RPC Disable)

XML-RPC je funkce WordPress, která umožňuje přenos dat mezi WordPress a jinými systémy. Dnes to bylo do značné míry nahrazeno REST API, ale je stále zahrnuto v instalacích kvůli zpětné kompatibilitě. Pokud je povoleno na WordPressu, může útočník mimo jiné provádět útoky hrubou silou, pingback (SSRF).

Obecný obrázek pro závěry článku

Závěr

Doufáme v to "užitečný malý příspěvek" o volaném webu «Secure Code Wiki», který nabízí hodnotný obsah související s «Osvědčené postupy bezpečného kódování »; je velmi zajímavý a užitečný pro všechny «Comunidad de Software Libre y Código Abierto» a velkým příspěvkem k šíření nádherného, ​​gigantického a rostoucího ekosystému aplikací «GNU/Linux».

Prozatím, pokud se vám to líbilo publicación, Nepřestávej sdílet to s ostatními, na vašich oblíbených webových stránkách, kanálech, skupinách nebo komunitách sociálních sítí nebo systémů zasílání zpráv, nejlépe zdarma, otevřeně a / nebo bezpečněji jako TelegramSignáluMastodon nebo jiný z Fediverse, nejlépe.

A nezapomeňte navštívit naši domovskou stránku na «DesdeLinux» prozkoumat další novinky a připojit se k našemu oficiálnímu kanálu Telegram z DesdeLinuxZatímco pro více informací můžete navštívit jakékoli Online knihovna jak OpenLibra y jedit, přístup a čtení digitálních knih (PDF) o tomto tématu nebo jiných.


Zanechte svůj komentář

Vaše e-mailová adresa nebude zveřejněna. Povinné položky jsou označeny *

*

*

  1. Odpovědný za údaje: Miguel Ángel Gatón
  2. Účel údajů: Ovládací SPAM, správa komentářů.
  3. Legitimace: Váš souhlas
  4. Sdělování údajů: Údaje nebudou sděleny třetím osobám, s výjimkou zákonných povinností.
  5. Úložiště dat: Databáze hostovaná společností Occentus Networks (EU)
  6. Práva: Vaše údaje můžete kdykoli omezit, obnovit a odstranit.

  1.   luix řekl
    před 3 let

    Zajímavý článek, měl by být povinný pro každého vývojáře ..

    Odpovědět luix