Secure Code Wiki : Un site Web de bonnes pratiques de codage sécurisé

Secure Code Wiki: un réseau de bonnes pratiques de codage sécurisé

Pour l'avancement de Connaissances et éducationEt l' Science et technologie En général, il a toujours été de la plus haute importance de mettre en œuvre les des actions meilleures et plus efficaces, mesures ou recommandations (Les bonnes pratiques) pour atteindre l'objectif ultime de, porter à fruit toute activité ou processus.

Et l' Programmation ou l' Développement de logiciels Comme toute autre activité professionnelle et informatique, elle a ses propres "Les bonnes pratiques" associée à de nombreuses sphères, en particulier celles liées à Cybersécurité des produits logiciels produits. Et dans cet article, nous présenterons quelques «Bonnes pratiques de codage sécurisé », à partir d'un site Web intéressant et utile appelé "Wiki Secure Code", tellement de choses Plateformes de développement libre et ouvert, comme privé et fermé.

Licencias para el desarrollo del Software Libre y Abierto: Buenas prácticas

Licences pour le développement de logiciels libres et ouverts: bonnes pratiques

Avant d'entrer dans le sujet, comme d'habitude, nous laisserons plus tard quelques liens vers des publications précédentes liées au sujet de «Bonnes pratiques en programmation ou en développement de logiciels ».

"… Bonnes pratiques conçues et diffusées par le "Code pour l'initiative de développement » de la Banque interaméricaine de développement, sur la portée de Logiciel de licence, qui doit être pris lors du développement de produits logiciels (outils numériques), en particulier gratuits et ouverts. » Licences pour le développement de logiciels libres et ouverts: bonnes pratiques

Secure Code Wiki: Bonnes pratiques de codage sécurisé

Qu'est-ce que le Wiki Secure Code?

Comme son texte le dit Site Internet:

"Secure Code Wiki est l'aboutissement de pratiques de codage sécurisées pour un large éventail de langues. »

Et celles-ci bonnes pratiques et le site web de "Wiki Secure Code" ont été créés et maintenus par une organisation indienne appelée Payatus.

Exemples de bonnes pratiques par types de langages de programmation

Depuis, le site est en anglais, nous montrerons quelques exemples de codage sécurisé à propos de divers langages de programmation, certains gratuits et ouverts, d'autres privés et fermés, proposés par ledit site Web à explorer le potentiel et la qualité du contenu chargé.

De plus, il est important de souligner que Les bonnes pratiques affiché sur le Plateformes de développement suivant:

.NET
Java
Java pour Android
Kotlin
NodeJS
Objectif c
PHP
Python
Rubi
Swift
Outils de gestion

Ils sont divisés dans les catégories suivantes pour les langues de bureau:

A1 - Injection (Injection)
A2 - Authentification cassée (Authentification cassée)
A3 - Exposition de données sensibles (Exposition des données sensibles)
A4 - Entités externes XML (Entités externes XML / XXE)
A5 - Contrôle d'accès défectueux (Contrôle d'accès cassé)
A6 - Déconfiguration de la sécurité (Mauvaise configuration de la sécurité)
A7 - Scripts intersites (Scripts intersites / XSS)
A8 - Désérialisation non sécurisée (Désérialisation non sécurisée)
A9 - Utilisation de composants avec des vulnérabilités connues (Utilisation de composants avec des vulnérabilités connues)
A10 - Inscription et supervision insuffisantes (Journalisation et surveillance insuffisantes)

Et également divisé dans les catégories suivantes pour les langues mobiles:

M1 - Mauvaise utilisation de la plate-forme (Utilisation incorrecte de la plate-forme)
M2 - Stockage de données non sécurisé (Stockage de données non sécurisé)
M3 - Communication non sécurisée (Communication non sécurisée)
M4 - Authentification non sécurisée (Authentification non sécurisée)
M5 - Cryptographie insuffisante (Cryptographie insuffisante)
M6 - Autorisation non sécurisée (Autorisation non sécurisée)
M7 - Qualité du code client (Qualité du code client)
M8 - Manipulation de code (Falsification de code)
M9 - Ingénierie inverse (Ingénierie inverse)
M10 - Fonctionnalité étrange (Fonctionnalité étrangère)

Exemple 1: .Net (A1- Injection)

L'utilisation d'un mappeur relationnel d'objets (ORM) ou de procédures stockées est le moyen le plus efficace de contrer la vulnérabilité d'injection SQL.

Exemple 2: Java (A2 - Authentification interrompue)

Dans la mesure du possible, implémentez l'authentification multifacteur pour empêcher le bourrage automatisé d'informations d'identification, la force brute et la réutilisation d'informations d'identification volées.

Exemple 3: Java pour Android (M3 - Communication non sécurisée)

Il est impératif d'appliquer SSL / TLS aux canaux de transport utilisés par l'application mobile pour transmettre des informations sensibles, des jetons de session ou d'autres données sensibles à une API backend ou à un service Web.

Exemple 4: Kotlin (M4 - Authentification non sécurisée)

Évitez les schémas faibles

Exemple 5: NodeJS (A5 - Mauvais contrôle d'accès)

Les contrôles d'accès du modèle doivent imposer la propriété des enregistrements, plutôt que permettre à l'utilisateur de créer, lire, mettre à jour ou supprimer n'importe quel enregistrement.

Exemple 6: Objectif C (M6 - Autorisation non sécurisée)

Les applications doivent éviter d'utiliser des nombres devinables comme référence d'identification.

Exemple 7: PHP (A7 - Cross Site Scripting)

Encodez tous les caractères spéciaux en utilisant htmlspecialchars () ou htmlentities () [s'il se trouve dans des balises html].

Exemple 8: Python (A8 - Désérialisation non sécurisée)

Le module pickle et jsonpickle n'est pas sûr, ne l'utilisez jamais pour désérialiser des données non fiables.

Exemple 9: Python (A9 - Utilisation de composants avec des vulnérabilités connues)

Exécutez l'application avec l'utilisateur le moins privilégié

Exemple 10: Swift (M10 - Fonctionnalité étrange)

Supprimez les fonctionnalités de porte dérobée cachées ou d'autres contrôles de sécurité de développement internes qui ne sont pas destinés à être publiés dans un environnement de production.

Exemple 11: WordPress (désactivation de XML-RPC)

XML-RPC est une fonctionnalité WordPress qui permet le transfert de données entre WordPress et d'autres systèmes. Aujourd'hui, il a été largement remplacé par l'API REST, mais il est toujours inclus dans les installations pour une compatibilité descendante. S'il est activé dans WordPress, un attaquant peut effectuer des attaques par force brute, pingback (SSRF), entre autres.

Conclusion

Nous espérons que "petit message utile » à propos du site Web appelé «Secure Code Wiki», qui offre un contenu précieux lié à «Bonnes pratiques de codage sécurisé »; est d'un grand intérêt et d'une grande utilité, pour l'ensemble «Comunidad de Software Libre y Código Abierto» et d'une grande contribution à la diffusion de l'écosystème merveilleux, gigantesque et croissant d'applications de «GNU/Linux».

Pour l'instant, si vous avez aimé ça publicación, Ne vous arrêtez pas partager avec d'autres, sur vos sites Web, canaux, groupes ou communautés de réseaux sociaux ou systèmes de messagerie préférés, de préférence gratuits, ouverts et / ou plus sécurisés que Telegram, Signal, Mastodonte ou un autre de Fediverse, de préférence.

Et n'oubliez pas de visiter notre page d'accueil à «DesdeLinux» pour explorer plus d'actualités et rejoindre notre chaîne officielle de Télégramme de DesdeLinux. Alors que, pour plus d'informations, vous pouvez visiter n'importe quel Bibliothèque en ligne comme OpenBalance y Jedit, pour accéder et lire des livres numériques (PDF) sur ce sujet ou d'autres.