Sekura Kodo-Vikio: retejo de sekuraj kodaj bonaj praktikoj

Sekura Kodo-Vikio: retejo de sekuraj kodaj bonaj praktikoj

Sekura Kodo-Vikio: retejo de sekuraj kodaj bonaj praktikoj

Por la progreso de Scio kaj Edukadokaj la Scienco kaj Teknologio Ĝenerale, ĝi ĉiam gravegis la efektivigon de la pli bonaj kaj pli efikaj agoj, mezuroj aŭ rekomendoj (Bonaj praktikoj) atingi la finan celon de, realigi iu ajn agado aŭ procezo.

Kaj la Programado aŭ la Programa disvolviĝo Kiel ĉiu alia profesia kaj IT-agado, ĝi havas sian propran "Bonaj praktikoj" asociita kun multaj sferoj, precipe tiuj rilataj al Cibersekureco de la produktitaj programaj produktoj. Kaj en ĉi tiu afiŝo ni prezentos iujn «Bonaj Sekuraj Kodaj Praktikoj », de interesa kaj utila retejo nomata "Sekura Kodo Vikio", tiom multe pri Evoluaj Platformoj senpaga kaj malferma, kiel privata kaj fermita.

Licencoj por la disvolviĝo de Libera kaj Malferma Programaro: Bonaj praktikoj

Licencoj por la disvolviĝo de Libera kaj Malferma Programaro: Bonaj praktikoj

Antaŭ ol eniri la temon, kiel kutime, ni lasos poste iujn ligojn al antaŭaj publikaĵoj rilataj al la temo de «Bonaj Praktikoj pri Programado aŭ Programara Disvolviĝo ».

"... Bonaj praktikoj elpensitaj kaj disvastigitaj de la "Kodo por Disvolva Iniciato" de la Interamerika Disvolva Banko, pri la amplekso de Permesila Programaro, Kiu devas esti prenita dum disvolvado de programaj produktoj (ciferecaj iloj), precipe senpagaj kaj malfermaj." Licencoj por la disvolviĝo de Libera kaj Malferma Programaro: Bonaj praktikoj

Rilata artikolo:
Licencoj por la disvolviĝo de Libera kaj Malferma Programaro: Bonaj praktikoj

Rilata artikolo:
Teknika Kvalito: Bonaj praktikoj en la disvolviĝo de Libera Programaro
Rilata artikolo:
Bonaj praktikoj por disvolvi liberan kaj malferman Programaron: Dokumentado

Vikio pri Sekura Kodo: Bonaj Sekuraj Kodaj Praktikoj

Vikio pri Sekura Kodo: Bonaj Sekuraj Kodaj Praktikoj

Kio estas Sekura Kodo Vikio?

Kiel diras ĝia teksto Retejo:

"Secure Code Wiki estas kulmino de sekuraj kodopraktikoj por vasta gamo de lingvoj."

Kaj vi estas bonaj praktikoj kaj la retejo de "Sekura Kodo Vikio" estis kreitaj kaj prizorgataj de hinda organizo nomata Payatu.

Ekzemploj de Bonaj Praktikoj laŭ specoj de Programlingvoj

Ĉar la retejo estas en la angla, ni montros iujn ekzemploj de sekura kodigo pri diversaj programlingvoj, iuj senpagaj kaj malfermitaj, kaj aliaj privataj kaj fermitaj, ofertitaj de menciita retejo al esplori la potencialon kaj kvaliton de enhavo ŝarĝita.

Krome gravas reliefigi tion Bonaj praktikoj montrata sur la Evoluaj Platformoj jenaj:

  • NET
  • java
  • Java Por Android
  • Kotlin
  • NodeJS
  • Objektivo C
  • PHP
  • python
  • Rubeno
  • Swift
  • WordPress

Ili estas dividitaj en la jenajn kategoriojn por labortablaj lingvoj:

  • A1 - Injekto (Injekto)
  • A2 - Aŭtentikigo rompita (Rompita Aŭtentikigo)
  • A3 - Malkovro de sentemaj datumoj (Sentema Datuma Ekspozicio)
  • A4 - XML ​​Eksteraj Entoj (XML Eksteraj Unuoj / XXE)
  • A5 - Misa alirkontrolo (Rompita Alira Kontrolo)
  • A6 - Sekureca malkonfiguracio (Sekureca Miskonfiguracio)
  • A7 - Transskriba Skripto (Trans-reteja Skribado / XSS)
  • A8 - Necerta senerialigo (Necerta Deserialigo)
  • A9 - Uzo de komponantoj kun konataj vundeblecoj (Uzi Komponentojn kun Konataj Vundeblecoj)
  • A10 - Nesufiĉa registriĝo kaj superrigardo (Nesufiĉa Registrado & Monitoreo)

Kaj ankaŭ dividita en la jenajn kategoriojn por Poŝtelefonaj Lingvoj:

  • M1 - Nedeca uzo de la platformo (Nedeca Platformo-Uzo)
  • M2 - Nesekura datumstokado (Nesekura Datumstokado)
  • M3 - Nesekura komunikado (Nesekura Komunikado)
  • M4 - Necerta aŭtentokontrolo (Nesekura Aŭtentikigo)
  • M5 - Nesufiĉa kriptografio (Nesufiĉa Kriptografio)
  • M6 - Nesekura rajtigo (Nesekura Rajtigo)
  • M7 - Klienta koda kvalito (Klienta Kodo-Kvalito)
  • M8 - Koda manipulado (Kodfingrado)
  • M9 - Inversa Inĝenierio (Inversa Inĝenierio)
  • M10 - Stranga funkcio (Fremda Funkcieco)

Ekzemplo 1: .Net (A1- Injekto)

Uzi objektan interrilatan mapilon (ORM) aŭ stokitajn procedurojn estas la plej efika maniero kontraŭi la SQL-injektan vundeblecon.

Ekzemplo 2: Java (A2 - Aŭtentikigo rompita)

Kiam ajn eblas, efektivigu multfaktoran aŭtentikigon por malebligi aŭtomatan, akreditan plenigaĵon, krudan forton kaj reuzi atakojn kontraŭ ŝtelitaj atestiloj.

Ekzemplo 3: Java Por Android (M3 - Necerta Komunikado)

Estas nepre apliki SSL / TLS al la transportaj kanaloj uzataj de la poŝtelefona aplikaĵo por transdoni sentemajn informojn, sesajn tokojn aŭ aliajn sentemajn datumojn al backend API aŭ retejo.

Ekzemplo 4: Kotlin (M4 - Malsekura Aŭtentikigo)

Evitu malfortajn ŝablonojn

Ekzemplo 5: NodeJS (A5 - Malbona Alira Kontrolo)

La alirkontroloj de la modelo devas plenumi posedon de la registroj, anstataŭ permesi al la uzanto krei, legi, ĝisdatigi aŭ forigi iun ajn registron.

Ekzemplo 6: Celo C (M6 - Rajtigo nesekura)

Aplikoj devas eviti uzi diveneblajn nombrojn kiel identigan referencon.

Ekzemplo 7: PHP (A7 - Transversa Reta Skripto)

Kodigu ĉiujn specialajn signojn per htmlspecialchars () aŭ htmlentities () [se ĝi estas en html-etikedoj].

Ekzemplo 8: Python (A8 - Necerta Deserialigo)

La modulo pickle kaj jsonpickle ne estas sekura, neniam uzu ĝin por meriti nekonfidajn datumojn.

Ekzemplo 9: Python (A9 - Uzi Komponentojn kun Konataj Vundeblecoj)

Rulu la programon kun la malplej privilegia uzanto

Ekzemplo 10: Rapida (M10 - Stranga funkcio)

Forigu kaŝajn malantaŭpordajn funkciojn aŭ aliajn internajn evoluajn sekurecajn kontrolojn, kiuj ne intencas esti liberigitaj en produktado-medio.

Ekzemplo 11: WordPress (XML-RPC Malebligita)

XML-RPC estas WordPress-funkcio, kiu ebligas translokigon de datumoj inter WordPress kaj aliaj sistemoj. Hodiaŭ ĝi estis plejparte anstataŭita de la REST-API, sed ĝi ankoraŭ estas inkluzivita en la instaloj por malantaŭa kongruo. Se ebligita en WordPress, atakanto povas fari krudfortan, pingback (SSRF) atakojn, inter aliaj.

Senmarka bildo por artikolaj konkludoj

konkludo

Ni esperas ĉi tion "utila afiŝeto" pri la retejo nomata «Secure Code Wiki», kiu ofertas valoran enhavon rilatan al «Bonaj Sekuraj Kodaj Praktikoj »; tre interesas kaj utilas por la tuto «Comunidad de Software Libre y Código Abierto» kaj de granda kontribuo al la disvastigo de la mirinda, giganta kaj kreskanta ekosistemo de aplikoj de «GNU/Linux».

Nuntempe, se vi ŝatis ĉi tion publicación, Ne haltu dividi ĝin kun aliaj, en viaj plej ŝatataj retejoj, kanaloj, grupoj aŭ komunumoj de sociaj retoj aŭ mesaĝaj sistemoj, prefere senpagaj, malfermitaj kaj / aŭ pli sekuraj kiel TelegramosignaloMastodon aŭ alia de Fediverse, prefere.

Kaj memoru viziti nian ĉefpaĝon ĉe «De Linukso» esplori pliajn novaĵojn, kaj ankaŭ aliĝi al nia oficiala kanalo de Telegramo de DesdeLinuxDum, por pliaj informoj, vi povas viziti iun ajn Interreta biblioteko kiel OpenLibra y JedIT, aliri kaj legi ciferecajn librojn (PDF-ojn) pri ĉi tiu temo aŭ aliaj.


La enhavo de la artikolo aliĝas al niaj principoj de redakcia etiko. Por raporti eraron alklaku Ĉi tie.

Komento, lasu la vian

Lasu vian komenton

Via retpoŝta adreso ne estos eldonita. Postulita kampojn estas markita per *

*

*

  1. Respondeculo pri la datumoj: Miguel Ángel Gatón
  2. Celo de la datumoj: Kontrola SPAM, administrado de komentoj.
  3. Legitimado: Via konsento
  4. Komunikado de la datumoj: La datumoj ne estos komunikitaj al triaj krom per laŭleĝa devo.
  5. Stokado de datumoj: Datumbazo gastigita de Occentus Networks (EU)
  6. Rajtoj: Iam ajn vi povas limigi, retrovi kaj forigi viajn informojn.

  1.   luix diris

    Interesa artikolo, ĝi devas esti deviga por ĉiu programisto ..