Secure Code Wiki: Et web af sikker kodning af god praksis

Linux Post Install

6 minutter

Secure Code Wiki: Et web af sikker kodning af god praksis

Secure Code Wiki: Et web af sikker kodning af god praksis

Til fremme af Viden og uddannelseOg Videnskab og teknologi Generelt har det altid været af største betydning, at implementeringen af ​​programmet blev gennemført bedre og mere effektive handlinger, foranstaltninger eller anbefalinger (God praksis) at nå det ultimative mål om, bringe til virkelighed enhver aktivitet eller proces.

Og programmering eller Softwareudvikling Som enhver anden it- og professionel aktivitet har den sin egen "God praksis" forbundet med mange sfærer, især dem, der er relateret til Cybersikkerhed af de producerede softwareprodukter. Og i dette indlæg vil vi præsentere nogle «God sikker kodningspraksis », fra et interessant og nyttigt websted kaldet "Wiki til sikker kode", så meget om Udviklingsplatforme gratis og åben, som privat og lukket.

Licenser til udvikling af fri og åben software: god praksis

Licenser til udvikling af fri og åben software: god praksis

Før vi kommer ind i emnet, vil vi som sædvanligt senere efterlade nogle links til tidligere publikationer relateret til emnet «God praksis inden for programmering eller softwareudvikling ».

"... God praksis udtænkt og formidlet af "Kode for udviklingsinitiativ" fra Den Interamerikanske Udviklingsbank om omfanget af Licenssoftware, som skal tages, når der udvikles softwareprodukter (digitale værktøjer), især gratis og åbent." Licenser til udvikling af fri og åben software: god praksis

Licenser til udvikling af fri og åben software: god praksis
relateret artikel:
Licenser til udvikling af fri og åben software: god praksis
 Teknisk kvalitet: God praksis i udviklingen af ​​fri software
relateret artikel:
Teknisk kvalitet: God praksis i udviklingen af ​​fri software
 Dokumentation: God praksis til udvikling af gratis og åben software
relateret artikel:
God praksis til udvikling af gratis og åben software: Dokumentation

Secure Code Wiki: God sikker kodningspraksis

Secure Code Wiki: God sikker kodningspraksis

Hvad er Secure Code Wiki?

Som det står i teksten hjemmeside:

"Secure Code Wiki er en kulmination af sikre kodningsmetoder for en lang række sprog."

Og du er god praksis og hjemmesiden for "Wiki til sikker kode" er oprettet og vedligeholdt af en indisk organisation kaldet Payatus.

Eksempler på god praksis efter typer programmeringssprog

Da hjemmesiden er på engelsk, viser vi nogle eksempler på sikker kodning om forskellige programmeringssprog, nogle gratis og åbne, og andre private og lukkede, der tilbydes af nævnte websted til udforske potentialet og kvaliteten af ​​indholdet indlæst.

Derudover er det vigtigt at fremhæve det God praksis vises på Udviklingsplatforme følge:

  • . NET
  • Java
  • Java til Android
  • Kotlin
  • NodeJS
  • Mål C
  • PHP
  • Python
  • Rubin
  • Swift
  • WordPress

De er opdelt i følgende kategorier til desktop-sprog:

  • A1 - Injektion (Indsprøjtning)
  • A2 - Godkendelse brudt (Brudt godkendelse)
  • A3 - Eksponering af følsomme data (Eksponering af følsomme data)
  • A4 - XML-eksterne enheder (Eksterne XML-enheder / XXE)
  • A5 - Defekt adgangskontrol (Brudt adgangskontrol)
  • A6 - Dekonfiguration af sikkerhed (Sikkerhedsfejlkonfiguration)
  • A7 - Scripting på tværs af websteder (Scripting på tværs af websteder / XSS)
  • A8 - Usikker deserialisering (Usikker deserialisering)
  • A9 - Brug af komponenter med kendte sårbarheder (Brug af komponenter med kendte sårbarheder)
  • A10 - Utilstrækkelig registrering og tilsyn (Utilstrækkelig logning og overvågning)

Og også opdelt i følgende kategorier for mobile sprog:

  • M1 - Forkert brug af platformen (Forkert brug af platformen)
  • M2 - Usikker datalagring (Usikker datalagring)
  • M3 - Usikker kommunikation (Usikker kommunikation)
  • M4 - Usikker godkendelse (Usikker godkendelse)
  • M5 - Utilstrækkelig kryptografi (Utilstrækkelig kryptografi)
  • M6 - Usikker godkendelse (Usikker godkendelse)
  • M7 - Kundekodekvalitet (Klientkodekvalitet)
  • M8 - Kodemanipulation (Kode manipulation)
  • M9 - Reverse Engineering (Omvendt teknik)
  • M10 - Mærkelig funktionalitet (Ekstern funktionalitet)

Eksempel 1: .Net (A1- Injection)

Brug af en objektrelationskortlægger (ORM) eller lagrede procedurer er den mest effektive måde at imødegå SQL-injektionssårbarheden.

Eksempel 2: Java (A2 - godkendelse brudt)

Når det er muligt, implementer multifaktorautentificering for at forhindre automatiseret, legitimationsopfyldning, brutal kraft og genbrug af angreb på stjålne legitimationsoplysninger.

Eksempel 3: Java til Android (M3 - Usikker kommunikation)

Det er bydende nødvendigt at anvende SSL / TLS på transportkanaler, der bruges af mobilapplikationen til at overføre følsomme oplysninger, sessionstokener eller andre følsomme data til en backend API eller webservice.

Eksempel 4: Kotlin (M4 - Usikker godkendelse)

Undgå svage mønstre

Eksempel 5: NodeJS (A5 - dårlig adgangskontrol)

Modelens adgangskontrol skal håndhæve ejerskabet af posterne i stedet for at give brugeren mulighed for at oprette, læse, opdatere eller slette en post.

Eksempel 6: Mål C (M6 - Autorisation usikker)

Applikationer bør undgå at bruge gættelige tal som en identificerende reference.

Eksempel 7: PHP (A7 - Cross Site Scripting)

Kod alle specialtegn ved hjælp af htmlspecialchars () eller htmlentities () [hvis det er inden for html-tags].

Eksempel 8: Python (A8 - Usikker deserialisering)

Pickle- og jsonpickle-modulet er ikke sikkert, brug det aldrig til at deserialisere upålidelige data.

Eksempel 9: Python (A9 - Brug af komponenter med kendte sårbarheder)

Kør applikationen med den mindst privilegerede bruger

Eksempel 10: Swift (M10 - Mærkelig funktionalitet)

Fjern skjult bagdørfunktionalitet eller andre interne sikkerhedssikkerhedskontroller, der ikke er beregnet til at blive frigivet i et produktionsmiljø.

Eksempel 11: WordPress (XML-RPC deaktiveret)

XML-RPC er en WordPress-funktion, der muliggør dataoverførsel mellem WordPress og andre systemer. I dag er det stort set afløst af REST API, men det er stadig inkluderet i installationerne for bagudkompatibilitet. Hvis aktiveret i WordPress, kan en angriber blandt andet udføre brute force, pingback (SSRF) angreb.

Generisk billede til artikelkonklusioner

Konklusion

Vi håber det "nyttigt lille indlæg" om det kaldte websted «Secure Code Wiki», som tilbyder værdifuldt indhold relateret til «God sikker kodningspraksis »; er af stor interesse og nytte for hele det «Comunidad de Software Libre y Código Abierto» og med stort bidrag til udbredelsen af ​​det vidunderlige, gigantiske og voksende økosystem af applikationer af «GNU/Linux».

For nu, hvis du kunne lide dette publicación, Stop ikke del det med andre på dine yndlingswebsteder, kanaler, grupper eller samfund af sociale netværk eller messaging-systemer, helst gratis, åbent og / eller mere sikkert som TelegramSignalMastodon eller en anden af Fediverse, helst.

Og husk at besøge vores startside kl «DesdeLinux» for at udforske flere nyheder samt deltage i vores officielle kanal for Telegram af DesdeLinuxMens, for mere information, kan du besøge enhver Online bibliotek som OpenLibra y jedit, for at få adgang til og læse digitale bøger (PDF-filer) om dette emne eller andre.


Efterlad din kommentar

Din e-mailadresse vil ikke blive offentliggjort. Obligatoriske felter er markeret med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Control SPAM, management af kommentarer.
  3. Legitimering: Dit samtykke
  4. Kommunikation af dataene: Dataene vil ikke blive kommunikeret til tredjemand, undtagen ved juridisk forpligtelse.
  5. Datalagring: Database hostet af Occentus Networks (EU)
  6. Rettigheder: Du kan til enhver tid begrænse, gendanne og slette dine oplysninger.

  1.   luix sagde han
    siden 3 år

    Interessant artikel, det skal være obligatorisk for enhver udvikler ..

    Svar på luix