Secure Code Wiki: Ένας ιστός ασφαλών κωδικοποιήσεων καλών πρακτικών
Για την πρόοδο του Γνώση και εκπαίδευση, Και Επιστήμη και Τεχνολογία Σε γενικές γραμμές, ήταν πάντοτε ύψιστης σημασίας η εφαρμογή του καλύτερες και πιο αποτελεσματικές δράσεις, μέτρα ή συστάσεις (Καλές πρακτικές) για να επιτύχετε τον τελικό στόχο, να καρποφορήσει οποιαδήποτε δραστηριότητα ή διαδικασία.
και προγραμματισμός ή η Ανάπτυξη λογισμικού Όπως κάθε άλλη πληροφορική και επαγγελματική δραστηριότητα, έχει τη δική της "Καλές πρακτικές" σχετίζονται με πολλές σφαίρες, ειδικά εκείνες που σχετίζονται με Κυβερνασφάλεια των παραγόμενων προϊόντων λογισμικού. Και σε αυτήν την ανάρτηση θα παρουσιάσουμε μερικά «Καλές πρακτικές ασφαλούς κωδικοποίησης », από μια ενδιαφέρουσα και χρήσιμη ιστοσελίδα που ονομάζεται "Ασφαλής κωδικός Wiki", τόσο πολύ Πλατφόρμες ανάπτυξης δωρεάν και ανοιχτό, ως ιδιωτικό και κλειστό.
Άδειες για την ανάπτυξη Ελεύθερου και Ανοικτού Λογισμικού: Καλές πρακτικές
Πριν μπείτε στο θέμα, ως συνήθως, θα αφήσουμε αργότερα κάποιους συνδέσμους σε προηγούμενες δημοσιεύσεις που σχετίζονται με το θέμα του «Καλές πρακτικές στον προγραμματισμό ή την ανάπτυξη λογισμικού ».
"… Καλές πρακτικές που συλλαμβάνονται και διαδίδονται από το "Κώδικας για αναπτυξιακή πρωτοβουλία" της Διαμερικανικής Τράπεζας Ανάπτυξης, σχετικά με το πεδίο εφαρμογής της Λογισμικό άδειας, το οποίο πρέπει να ληφθεί κατά την ανάπτυξη προϊόντων λογισμικού (ψηφιακά εργαλεία), ειδικά δωρεάν και ανοιχτά." Άδειες για την ανάπτυξη Ελεύθερου και Ανοικτού Λογισμικού: Καλές πρακτικές
Secure Code Wiki: Καλές πρακτικές κωδικοποίησης με ασφάλεια
Τι είναι το Secure Code Wiki;
Καθώς είναι τοποθεσία:
"Το Secure Code Wiki είναι το αποκορύφωμα των πρακτικών ασφαλούς κωδικοποίησης για ένα ευρύ φάσμα γλωσσών."
Και είστε ορθών πρακτικών και τον ιστότοπο του "Ασφαλής κωδικός Wiki" έχουν δημιουργηθεί και συντηρηθεί από μια ινδική οργάνωση που ονομάζεται Παϊατού.
Παραδείγματα ορθών πρακτικών ανά τύπο γλωσσών προγραμματισμού
Δεδομένου ότι ο ιστότοπος είναι στα Αγγλικά, θα δείξουμε μερικά παραδείγματα ασφαλούς κωδικοποίησης για διάφορα γλώσσες προγραμματισμού, μερικά δωρεάν και ανοιχτά, και άλλα ιδιωτικά και κλειστά, που προσφέρονται από τον εν λόγω ιστότοπο για διερευνήστε τις δυνατότητες και την ποιότητα του περιεχομένου φορτωμένος.
Επιπλέον, είναι σημαντικό να τονιστεί αυτό Καλές πρακτικές εμφανίζεται στο Πλατφόρμες ανάπτυξης ΕΠΟΜΕΝΟ:
- . NET
- Java
- Java για Android
- Κοτλίν
- NodeJS
- Στόχος Γ
- PHP
- Python
- Ruby
- Swift
- WordPress
Χωρίζονται στις ακόλουθες κατηγορίες για Desktop Languages:
- Α1 - Ένεση (Ενεση)
- A2 - Ο έλεγχος ταυτότητας είναι σπασμένος (Σπασμένος έλεγχος ταυτότητας)
- A3 - Έκθεση ευαίσθητων δεδομένων (Ευαίσθητη έκθεση δεδομένων)
- A4 - XML Εξωτερικές οντότητες (XML Εξωτερικές οντότητες / XXE)
- A5 - Ελαττωματικός έλεγχος πρόσβασης (Έλεγχος σπασμένης πρόσβασης)
- A6 - Διαμόρφωση ασφαλείας (Εσφαλμένη διαμόρφωση ασφαλείας)
- A7 - Σενάριο Cross Site (Σενάριο μεταξύ ιστότοπων / XSS)
- Α8 - Ασφαλής αποεστερίωση (Ασφαλής αποεριοποίηση)
- A9 - Χρήση στοιχείων με γνωστές ευπάθειες (Χρήση στοιχείων με γνωστές ευπάθειες)
- A10 - Ανεπαρκής εγγραφή και επίβλεψη (Ανεπαρκής καταγραφή & παρακολούθηση)
Και επίσης χωρίζεται στις ακόλουθες κατηγορίες για γλώσσες για κινητές συσκευές:
- M1 - Ακατάλληλη χρήση της πλατφόρμας (Ακατάλληλη χρήση πλατφόρμας)
- M2 - Ασφαλής αποθήκευση δεδομένων (Μη ασφαλής αποθήκευση δεδομένων)
- M3 - Ανασφαλής επικοινωνία (Ανασφαλής επικοινωνία)
- M4 - Μη ασφαλής έλεγχος ταυτότητας (Μη ασφαλής έλεγχος ταυτότητας)
- M5 - Ανεπαρκής κρυπτογραφία (Ανεπαρκής κρυπτογραφία)
- M6 - Μη ασφαλής εξουσιοδότηση (Μη ασφαλής εξουσιοδότηση)
- M7 - Ποιότητα κωδικού πελάτη (Ποιότητα κώδικα πελάτη)
- M8 - Χειρισμός κώδικα (Παραβίαση κώδικα)
- M9 - Αντίστροφη μηχανική (Αντίστροφη μηχανική)
- M10 - Παράξενη λειτουργικότητα (Εξωγενής λειτουργικότητα)
Παράδειγμα 1: .Net (A1- Έγχυση)
Η χρήση ενός αντικειμενικού σχεσιακού χαρτογράφησης (ORM) ή αποθηκευμένων διαδικασιών είναι ο πιο αποτελεσματικός τρόπος για την αντιμετώπιση της ευπάθειας έγχυσης SQL.
Παράδειγμα 2: Java (A2 - Ο έλεγχος ταυτότητας είναι σπασμένος)
Όποτε είναι δυνατόν, εφαρμόστε έλεγχο ταυτότητας πολλών παραγόντων για να αποτρέψετε την αυτόματη, παραμόρφωση διαπιστευτηρίων, την ωμή βία και την επαναχρησιμοποίηση επιθέσεων σε κλεμμένα διαπιστευτήρια
Παράδειγμα 3: Java για Android (M3 - Ανασφαλής επικοινωνία)
Είναι επιτακτική η εφαρμογή SSL / TLS στα κανάλια μεταφοράς που χρησιμοποιούνται από την εφαρμογή για κινητές συσκευές για τη μετάδοση ευαίσθητων πληροφοριών, διακριτικών συνεδρίας ή άλλων ευαίσθητων δεδομένων σε API backend ή υπηρεσία Ιστού.
Παράδειγμα 4: Kotlin (M4 - Μη ασφαλής έλεγχος ταυτότητας)
Αποφύγετε τα αδύναμα μοτίβα
Παράδειγμα 5: NodeJS (A5 - Έλεγχος κακής πρόσβασης)
Τα στοιχεία ελέγχου πρόσβασης του μοντέλου πρέπει να επιβάλλουν την κυριότητα των εγγραφών, αντί να επιτρέπουν στο χρήστη να δημιουργεί, να διαβάζει, να ενημερώνει ή να διαγράφει οποιαδήποτε εγγραφή.
Παράδειγμα 6: Στόχος Γ (M6 - Μη ασφαλής εξουσιοδότηση)
Οι εφαρμογές θα πρέπει να αποφεύγουν τη χρήση εικαστικών αριθμών ως αναγνωριστικής αναφοράς.
Παράδειγμα 7: PHP (A7 - Cross Site Scripting)
Κωδικοποιήστε όλους τους ειδικούς χαρακτήρες χρησιμοποιώντας htmlspecialchars () ή htmlentities () [αν βρίσκεται εντός ετικετών html].
Παράδειγμα 8: Python (A8 - Ασφαλής αποεριοποίηση)
Η ενότητα pickle και jsonpickle δεν είναι ασφαλής, μην τη χρησιμοποιείτε ποτέ για αποεπιφύλαξη μη αξιόπιστων δεδομένων.
Παράδειγμα 9: Python (A9 - Χρήση στοιχείων με γνωστές ευπάθειες)
Εκτελέστε την εφαρμογή με τον λιγότερο προνομιούχο χρήστη
Παράδειγμα 10: Swift (M10 - Παράξενη λειτουργικότητα)
Καταργήστε την κρυφή λειτουργικότητα πίσω πόρτας ή άλλους ελέγχους ασφαλείας εσωτερικής ανάπτυξης που δεν προορίζονται να κυκλοφορήσουν σε περιβάλλον παραγωγής.
Παράδειγμα 11: WordPress (Απενεργοποίηση XML-RPC)
Το XML-RPC είναι μια δυνατότητα WordPress που επιτρέπει τη μεταφορά δεδομένων μεταξύ WordPress και άλλων συστημάτων. Σήμερα έχει αντικατασταθεί σε μεγάλο βαθμό από το REST API, αλλά εξακολουθεί να περιλαμβάνεται στις εγκαταστάσεις για συμβατότητα προς τα πίσω. Εάν είναι ενεργοποιημένο στο WordPress, ένας εισβολέας μπορεί να εκτελέσει, μεταξύ άλλων, επιθέσεις βίας, pingback (SSRF).
Συμπέρασμα
Ελπίζουμε αυτό "χρήσιμη μικρή ανάρτηση" σχετικά με τον ιστότοπο που ονομάζεται «Secure Code Wiki», που προσφέρει πολύτιμο περιεχόμενο που σχετίζεται με «Καλές πρακτικές ασφαλούς κωδικοποίησης »; έχει μεγάλο ενδιαφέρον και χρησιμότητα, για το σύνολο «Comunidad de Software Libre y Código Abierto» και μεγάλη συμβολή στη διάδοση του υπέροχου, γιγαντιαίου και αναπτυσσόμενου οικοσυστήματος εφαρμογών του «GNU/Linux».
Προς το παρόν, αν σας άρεσε αυτό publicación, Μην σταματάς μοιραστείτε το με άλλους, στους αγαπημένους σας ιστότοπους, κανάλια, ομάδες ή κοινότητες κοινωνικών δικτύων ή συστημάτων ανταλλαγής μηνυμάτων, κατά προτίμηση δωρεάν, ανοιχτό ή / και πιο ασφαλές ως Telegram, Σήμα, Μαστόδοντας ή άλλο Fediverse, κατά προτίμηση.
Και θυμηθείτε να επισκεφτείτε την αρχική μας σελίδα στο «DesdeLinux» για να εξερευνήσετε περισσότερες ειδήσεις, καθώς και να εγγραφείτε στο επίσημο κανάλι μας Τηλεγράφημα από DesdeLinux. Ενώ, για περισσότερες πληροφορίες, μπορείτε να επισκεφθείτε οποιαδήποτε Διαδικτυακή βιβλιοθήκη ως OpenLibra y jedit, για πρόσβαση και ανάγνωση ψηφιακών βιβλίων (PDF) σε αυτό το θέμα ή σε άλλα.
Ενδιαφέρον άρθρο, πρέπει να είναι υποχρεωτικό για κάθε προγραμματιστή ..