Za povýšení Znalosti a vzdělání, A Věda a technika Obecně bylo vždy nanejvýš důležité provádění lepší a efektivnější akce, opatření nebo doporučení (Osvědčené postupy) dosáhnout konečného cíle, uskutečnit jakoukoli činnost nebo proces.
A programování nebo Vývoj softwaru Jako každá jiná IT a profesionální činnost má i svoji vlastní „Osvědčené postupy“ spojené s mnoha oblastmi, zejména s oblastmi souvisejícími s Kybernetická bezpečnost produkovaných softwarových produktů. A v tomto příspěvku některé představíme «Osvědčené postupy bezpečného kódování », ze zajímavého a užitečného webu s názvem „Secure Code Wiki“, tolik o Vývojové platformy zdarma a otevřené, jako soukromé a uzavřené.
Než se do předmětu pustíme, jako obvykle, necháme později několik odkazů na předchozí publikace týkající se tématu «Osvědčené postupy při programování nebo vývoji softwaru ».
"… Osvědčené postupy koncipované a šířené "Kodex pro rozvojovou iniciativu" Meziamerické rozvojové banky, o rozsahu Licenční software, které je třeba vzít v úvahu při vývoji softwarových produktů (digitálních nástrojů), zejména bezplatných a otevřených." Licence na vývoj svobodného a otevřeného softwaru: Osvědčené postupy
Secure Code Wiki: Dobré postupy zabezpečeného kódování
Co je Secure Code Wiki?
Jak říká jeho text místo:
"Secure Code Wiki je vyvrcholením postupů bezpečného kódování pro širokou škálu jazyků."
A vy jste dobré praxe a webové stránky „Secure Code Wiki“ byly vytvořeny a udržovány indickou organizací s názvem Payatus.
Příklady osvědčených postupů podle typů programovacích jazyků
Protože je web v angličtině, některé si ukážeme příklady bezpečného kódování o různých programovacích jazyků, některé zdarma a otevřené a jiné soukromé a uzavřené, nabízené zmíněným webem pro prozkoumat potenciál a kvalitu obsahu načten.
Kromě toho je důležité to zdůraznit Osvědčené postupy zobrazené na Vývojové platformy Následující:
- . NET
- Jáva
- Java pro Android
- Kotlin
- NodeJS
- Cíl C
- PHP
- PYTHON
- Rubín
- Rychlý
- WordPress
Jsou rozděleny do následujících kategorií pro stolní jazyky:
- A1 - Vstřikování (Injekce)
- A2 - Ověření přerušeno (Zlomené ověření)
- A3 - Vystavení citlivých údajů (Citlivá expozice dat)
- A4 - XML externí entity (Externí entity XML / XXE)
- A5 - Chybná kontrola přístupu (Zlomená kontrola přístupu)
- A6 - Dekonfigurace zabezpečení (Nesprávná konfigurace zabezpečení)
- A7 - Cross Site Scripting (Skriptování mezi weby / XSS)
- A8 - Nejistá deserializace (Nejistá deserializace)
- A9 - Použití komponent se známými chybami zabezpečení (Používání komponent se známými chybami zabezpečení)
- A10 - Nedostatečná registrace a dohled (Nedostatečné protokolování a monitorování)
A také rozdělené do následujících kategorií pro mobilní jazyky:
- M1 - Nesprávné použití platformy (Nesprávné použití platformy)
- M2 - nezabezpečené úložiště dat (Nezabezpečené úložiště dat)
- M3 - nezabezpečená komunikace (Nezabezpečená komunikace)
- M4 - nezabezpečené ověřování (Nezabezpečené ověření)
- M5 - Nedostatečná kryptografie (Nedostatečná kryptografie)
- M6 - Nebezpečné povolení (Nejisté povolení)
- M7 - kvalita kódu zákazníka (Kvalita klientského kódu)
- M8 - Manipulace s kódem (Manipulace s kódem)
- M9 - reverzní inženýrství (Reverzní inženýrství)
- M10 - Zvláštní funkce (Cizí funkce)
Příklad 1: .Net (A1- Injection)
Nejúčinnějším způsobem, jak čelit zranitelnosti vložením SQL, je použití objektově relačního mapovače (ORM) nebo uložených procedur.
Příklad 2: Java (A2 - ověřování přerušeno)
Kdykoli je to možné, implementujte vícefaktorové ověřování, abyste zabránili automatizovanému naplnění pověření, hrubé síle a opětovnému použití útoků na odcizené pověření.
Příklad 3: Java pro Android (M3 - nezabezpečená komunikace)
Je nezbytně nutné použít SSL / TLS na transportní kanály používané mobilní aplikací k přenosu citlivých informací, tokenů relací nebo jiných citlivých dat do back-endového API nebo webové služby.
Příklad 4: Kotlin (M4 - nezabezpečené ověřování)
Vyhněte se slabým vzorům
Příklad 5: NodeJS (A5 - Bad Access Control)
Řízení přístupu modelu by mělo vynucovat vlastnictví záznamů, spíše než umožňovat uživateli vytvářet, číst, aktualizovat nebo mazat jakýkoli záznam.
Příklad 6: Cíl C (M6 - autorizace nejistá)
Aplikace by se měly vyhnout použití hádaných čísel jako identifikačního odkazu.
Příklad 7: PHP (A7 - Cross Site Scripting)
Zakódujte všechny speciální znaky pomocí htmlspecialchars () nebo htmlentities () [pokud je v html značkách].
Příklad 8: Python (A8 - nezabezpečená deserializace)
Modul pickle a jsonpickle není bezpečný, nikdy jej nepoužívejte k deserializaci nedůvěryhodných dat.
Příklad 9: Python (A9 - Použití komponent se známými chybami zabezpečení)
Spusťte aplikaci s nejméně privilegovaným uživatelem
Příklad 10: Swift (M10 - zvláštní funkce)
Odeberte skryté funkce backdooru nebo jiné interní ovládací prvky zabezpečení vývoje, které nejsou určeny k uvolnění v produkčním prostředí.
Příklad 11: WordPress (XML-RPC Disable)
XML-RPC je funkce WordPress, která umožňuje přenos dat mezi WordPress a jinými systémy. Dnes to bylo do značné míry nahrazeno REST API, ale je stále zahrnuto v instalacích kvůli zpětné kompatibilitě. Pokud je povoleno na WordPressu, může útočník mimo jiné provádět útoky hrubou silou, pingback (SSRF).
Závěr
Doufáme v to "užitečný malý příspěvek" o volaném webu «Secure Code Wiki»
, který nabízí hodnotný obsah související s «Osvědčené postupy bezpečného kódování »; je velmi zajímavý a užitečný pro všechny «Comunidad de Software Libre y Código Abierto»
a velkým příspěvkem k šíření nádherného, gigantického a rostoucího ekosystému aplikací «GNU/Linux»
.
Prozatím, pokud se vám to líbilo publicación
, Nepřestávej sdílet to s ostatními, na vašich oblíbených webových stránkách, kanálech, skupinách nebo komunitách sociálních sítí nebo systémů zasílání zpráv, nejlépe zdarma, otevřeně a / nebo bezpečněji jako Telegram, Signálu, Mastodon nebo jiný z Fediverse, nejlépe.
A nezapomeňte navštívit naši domovskou stránku na «DesdeLinux» prozkoumat další novinky a připojit se k našemu oficiálnímu kanálu Telegram z DesdeLinux. Zatímco pro více informací můžete navštívit jakékoli Online knihovna jak OpenLibra y jedit, přístup a čtení digitálních knih (PDF) o tomto tématu nebo jiných.
Zajímavý článek, měl by být povinný pro každého vývojáře ..