Secure Code Wiki: Ein Web mit bewährten Methoden für die sichere Codierung
Für die Weiterentwicklung von Wissen und BildungUnd das Wissenschaft und Technik Im Allgemeinen war die Umsetzung der bessere und effektivere Maßnahmen, Maßnahmen oder Empfehlungen (Gute Praktiken) um das ultimative Ziel zu erreichen, zur Verwirklichung bringen jede Aktivität oder jeder Prozess.
Und das Programmierung oder Software-Entwicklung Wie jede andere IT- und Berufstätigkeit hat sie ihre eigene "Gute Praktiken" verbunden mit vielen Sphären, insbesondere denen, die mit verwandt sind Cyber der hergestellten Softwareprodukte. Und in diesem Beitrag werden wir einige vorstellen «Gute sichere Codierungspraktiken », von einer interessanten und nützlichen Website namens "Secure Code Wiki", so viel über Entwicklungsplattformen frei und offen, als privat und geschlossen.
Lizenzen für die Entwicklung von freier und offener Software: Gute Praktiken
Bevor wir uns wie üblich mit dem Thema befassen, werden wir später einige Links zu früheren Veröffentlichungen zum Thema hinterlassen «Gute Praktiken in der Programmierung oder Softwareentwicklung ».
"… Gute Praktiken, die von der "Kodex für Entwicklungsinitiative" der Interamerikanischen Entwicklungsbank über den Umfang von Lizenzsoftware, die bei der Entwicklung von Softwareprodukten (digitalen Tools) berücksichtigt werden müssen, insbesondere kostenlos und offen." Lizenzen für die Entwicklung von freier und offener Software: Gute Praktiken
Secure Code Wiki: Gute sichere Codierungspraktiken
Was ist Secure Code Wiki?
Wie es ist Website:
"Secure Code Wiki ist ein Höhepunkt sicherer Codierungspraktiken für eine Vielzahl von Sprachen."
Und du bist gute Praxis und die Website von "Secure Code Wiki" wurden von einer indischen Organisation namens erstellt und gepflegt Payatus.
Beispiele für bewährte Verfahren nach Arten von Programmiersprachen
Da die Website auf Englisch ist, werden wir einige zeigen Beispiele für sichere Codierung über verschiedene Programmiersprachen, einige frei und offen, andere privat und geschlossen, angeboten von dieser Website für Entdecken Sie das Potenzial und die Qualität von Inhalten geladen.
Darüber hinaus ist es wichtig, dies hervorzuheben Gute Praktiken angezeigt auf dem Entwicklungsplattformen Folgendes:
- .Netto
- Javac
- Java für Android
- Kotlin
- KnotenJS
- Ziel c
- PHP
- Python
- Ruby
- Swift
- WordPress
Sie sind in folgende Kategorien für Desktop-Sprachen unterteilt:
- A1 - Injektion (Injektion)
- A2 - Authentifizierung unterbrochen (Unterbrochene Authentifizierung)
- A3 - Offenlegung sensibler Daten (Sensitive Datenexposition)
- A4 - Externe XML-Entitäten (Externe XML-Entitäten / XXE)
- A5 - Fehlerhafte Zugangskontrolle (Unterbrochene Zugangskontrolle)
- A6 - Sicherheitsdekonfiguration (Sicherheitsfehlkonfiguration)
- A7 - Cross Site Scripting (Cross-Site-Scripting / XSS)
- A8 - Unsichere Deserialisierung (Unsichere Deserialisierung)
- A9 - Verwendung von Komponenten mit bekannten Schwachstellen (Verwenden von Komponenten mit bekannten Sicherheitslücken)
- A10 - Unzureichende Registrierung und Überwachung (Unzureichende Protokollierung und Überwachung)
Und auch in die folgenden Kategorien für mobile Sprachen unterteilt:
- M1 - Unsachgemäße Nutzung der Plattform (Unsachgemäße Nutzung der Plattform)
- M2 - Unsichere Datenspeicherung (Unsichere Datenspeicherung)
- M3 - Unsichere Kommunikation (Unsichere Kommunikation)
- M4 - Unsichere Authentifizierung (Unsichere Authentifizierung)
- M5 - Unzureichende Kryptographie (Unzureichende Kryptographie)
- M6 - Unsichere Autorisierung (Unsichere Autorisierung)
- M7 - Kundencodequalität (Client Code Qualität)
- M8 - Code-Manipulation (Code-Manipulation)
- M9 - Reverse Engineering (Reverse-Engineering)
- M10 - Seltsame Funktionalität (Fremdfunktionalität)
Beispiel 1: .Net (A1-Injektion)
Die Verwendung eines Object Relational Mapper (ORM) oder gespeicherter Prozeduren ist der effizienteste Weg, um der SQL-Injection-Sicherheitsanfälligkeit entgegenzuwirken.
Beispiel 2: Java (A2 - Authentifizierung unterbrochen)
Implementieren Sie nach Möglichkeit die Multi-Faktor-Authentifizierung, um automatisierte Angriffe auf Anmeldeinformationen, Brute Force und Wiederverwendung von Angriffen auf gestohlene Anmeldeinformationen zu verhindern.
Beispiel 3: Java für Android (M3 - Unsichere Kommunikation)
Es ist unbedingt erforderlich, SSL / TLS auf die Transportkanäle anzuwenden, die von der mobilen Anwendung verwendet werden, um vertrauliche Informationen, Sitzungstoken oder andere vertrauliche Daten an eine Backend-API oder einen Webdienst zu übertragen.
Beispiel 4: Kotlin (M4 - Unsichere Authentifizierung)
Vermeiden Sie schwache Muster
Beispiel 5: NodeJS (A5 - Bad Access Control)
Die Zugriffskontrollen des Modells sollten den Besitz der Datensätze erzwingen, anstatt dem Benutzer das Erstellen, Lesen, Aktualisieren oder Löschen von Datensätzen zu ermöglichen.
Beispiel 6: Ziel C (M6 - Autorisierung unsicher)
Anwendungen sollten vermeiden, erratene Zahlen als identifizierende Referenz zu verwenden.
Beispiel 7: PHP (A7 - Cross Site Scripting)
Codieren Sie alle Sonderzeichen mit htmlspecialchars () oder htmlentities () [wenn sie sich in HTML-Tags befinden].
Beispiel 8: Python (A8 - Unsichere Deserialisierung)
Das Pickle- und Jsonpickle-Modul ist nicht sicher. Verwenden Sie es niemals zum Deserialisieren nicht vertrauenswürdiger Daten.
Beispiel 9: Python (A9 - Verwenden von Komponenten mit bekannten Sicherheitslücken)
Führen Sie die Anwendung mit dem Benutzer mit den geringsten Berechtigungen aus
Beispiel 10: Swift (M10 - Seltsame Funktionalität)
Entfernen Sie versteckte Backdoor-Funktionen oder andere interne Sicherheitskontrollen für die Entwicklung, die nicht in einer Produktionsumgebung freigegeben werden sollen.
Beispiel 11: WordPress (XML-RPC deaktivieren)
XML-RPC ist eine WordPress-Funktion, die die Datenübertragung zwischen WordPress und anderen Systemen ermöglicht. Heute wurde es von der REST-API weitgehend abgelöst, ist jedoch aus Gründen der Abwärtskompatibilität immer noch in den Installationen enthalten. Wenn in WordPress aktiviert, kann ein Angreifer unter anderem Brute-Force-Pingback-Angriffe (SSRF) ausführen.
Fazit
Wir hoffen das "hilfreicher kleiner Beitrag" über die Website aufgerufen «Secure Code Wiki», welches wertvolle Inhalte im Zusammenhang mit bietet «Gute sichere Codierungspraktiken »;; ist für das Ganze von großem Interesse und Nutzen «Comunidad de Software Libre y Código Abierto» und von großem Beitrag zur Verbreitung des wunderbaren, gigantischen und wachsenden Ökosystems der Anwendungen von «GNU/Linux».
Fürs Erste, wenn dir das gefallen hat publicación, Halte nicht an teile es mit anderen auf Ihren bevorzugten Websites, Kanälen, Gruppen oder Gemeinschaften von sozialen Netzwerken oder Nachrichtensystemen, vorzugsweise kostenlos, offen und / oder sicherer als Telegram, Signal, Mastodon oder eine andere von Fediverse, vorzugsweise.
Und denken Sie daran, unsere Homepage unter zu besuchen «FromLinux» um weitere Neuigkeiten zu erfahren und sich unserem offiziellen Kanal von anzuschließen FromLinux-Telegramm. Für weitere Informationen können Sie alle besuchen Online-Bibliothek als OpenLibra y jedit, Zugriff auf und Lesen von digitalen Büchern (PDFs) zu diesem oder anderen Themen.