Wiki de código seguro: unha rede de boas prácticas de codificación segura

Wiki de código seguro: unha rede de boas prácticas de codificación segura

Wiki de código seguro: unha rede de boas prácticas de codificación segura

Para o avance de Coñecemento e Educación, E Ciencia e Tecnoloxía En xeral, a implementación do accións mellores e máis efectivas, medidas ou recomendacións (Boas prácticas) para acadar o obxectivo final de, levar a bo porto calquera actividade ou proceso.

E a Programación o O Desenvolvemento de software Como calquera outra actividade profesional e de TI, ten a súa propia "Boas prácticas" asociado a moitas esferas, especialmente as relacionadas co Cibersecurity dos produtos de software producidos. E nesta entrada presentarémosvos algúns «Boas prácticas de codificación segura », dunha interesante e útil páxina web chamada "Wiki de código seguro", moito sobre Plataformas de desenvolvemento gratuíto e aberto, como privado e pechado.

Licenzas para o desenvolvemento de software libre e aberto: boas prácticas

Licenzas para o desenvolvemento de software libre e aberto: boas prácticas

Antes de entrar no tema, como de costume, deixaremos máis adiante algunhas ligazóns a publicacións anteriores relacionadas co tema de «Boas prácticas en programación ou desenvolvemento de software ».

"... Boas prácticas concibidas e difundidas polo "Iniciativa Código para o Desenvolvemento" do Banco Interamericano de Desenvolvemento, sobre o alcance de Software de licenza, que debe tomarse ao desenvolver produtos de software (ferramentas dixitais), especialmente gratuítos e abertos." Licenzas para o desenvolvemento de software libre e aberto: boas prácticas

Artigo relacionado:
Licenzas para o desenvolvemento de software libre e aberto: boas prácticas

Artigo relacionado:
Calidade técnica: boas prácticas no desenvolvemento de software libre
Artigo relacionado:
Boas prácticas para desenvolver software libre e aberto: documentación

Wiki de código seguro: boas prácticas de codificación segura

Wiki de código seguro: boas prácticas de codificación segura

Que é Secure Code Wiki?

Como di o seu texto local:

"Secure Code Wiki é a culminación de prácticas de codificación seguras para unha ampla gama de idiomas."

E estás boas prácticas e o sitio web de "Wiki de código seguro" foron creados e mantidos por unha organización india chamada Payatus.

Exemplos de boas prácticas por tipos de linguaxes de programación

Xa que o sitio web está en inglés, amosaremos algúns exemplos de codificación segura sobre varios linguaxes de programación, algúns gratuítos e abertos, e outros privados e pechados, ofrecidos por dita páxina web a explorar o potencial e a calidade do contido cargado.

Ademais, é importante resaltar isto Boas prácticas amosado no Plataformas de desenvolvemento seguintes:

  • . Net
  • Java
  • Java para Android
  • Kotlin
  • NodeJS
  • Obxectivo C
  • PHP
  • Pitão
  • Rubio
  • Rápido
  • WordPress

Divídense nas seguintes categorías para as linguas de escritorio:

  • A1 - Inxección (Inxección)
  • A2 - Autenticación rota (Autenticación rota)
  • A3 - Exposición de datos sensibles (Exposición de datos sensibles)
  • A4 - Entidades externas XML (Entidades externas XML / XXE)
  • A5 - Control de acceso defectuoso (Control de acceso roto)
  • A6 - Desconfiguración de seguridade (Configuración incorrecta de seguridade)
  • A7 - Script de sitios cruzados (Script entre sitios / XSS)
  • A8 - Deserialización insegura (Deserialización insegura)
  • A9 - Uso de compoñentes con vulnerabilidades coñecidas (Usando compoñentes con vulnerabilidades coñecidas)
  • A10 - Rexistro e supervisión insuficientes (Rexistro e seguimento insuficientes)

E tamén dividido nas seguintes categorías para idiomas móbiles:

  • M1 - Uso inadecuado da plataforma (Uso inadecuado da plataforma)
  • M2 - Almacenamento de datos inseguro (Almacenamento de datos inseguro)
  • M3 - Comunicación insegura (Comunicación insegura)
  • M4 - Autenticación insegura (Autenticación insegura)
  • M5 - Criptografía insuficiente (Criptografía insuficiente)
  • M6 - Autorización non segura (Autorización insegura)
  • M7 - Calidade do código do cliente (Calidade do código do cliente)
  • M8 - Manipulación de código (Modificación de código)
  • M9 - Enxeñaría inversa (Enxeñaría inversa)
  • M10 - Funcionalidade estraña (Funcionalidade estraña)

Exemplo 1: .Net (A1- inxección)

Usar un mapeador relacional de obxectos (ORM) ou procedementos almacenados é o xeito máis eficaz de contrarrestar a vulnerabilidade da inxección SQL.

Exemplo 2: Java (A2 - Autenticación rota)

Sempre que sexa posible, implemente autenticación multifactor para evitar o recheo automatizado de credenciais, a forza bruta e a reutilización de credenciais roubadas.

Exemplo 3: Java para Android (M3 - Comunicación insegura)

É imprescindible aplicar SSL / TLS ás canles de transporte utilizadas pola aplicación móbil para transmitir información confidencial, tokens de sesión ou outros datos sensibles a unha API de backend ou servizo web.

Exemplo 4: Kotlin (M4 - Autenticación insegura)

Evite patróns débiles

Exemplo 5: NodeJS (A5 - Control de acceso incorrecto)

Os controis de acceso do modelo deberían impor a propiedade dos rexistros en lugar de permitir ao usuario crear, ler, actualizar ou eliminar calquera rexistro.

Exemplo 6: Obxectivo C (M6 - Autorización insegura)

As aplicacións deben evitar usar números adiviñables como referencia identificativa.

Exemplo 7: PHP (A7 - Cross Site Scripting)

Codifica todos os caracteres especiais usando htmlspecialchars () ou htmlentities () [se está dentro de etiquetas html].

Exemplo 8: Python (A8 - Deserialización insegura)

O módulo pickle e jsonpickle non é seguro; nunca o use para deserializar datos non fiables.

Exemplo 9: Python (A9 - Usar compoñentes con vulnerabilidades coñecidas)

Executa a aplicación co usuario menos privilexiado

Exemplo 10: Swift (M10 - Funcionalidade estraña)

Elimina a funcionalidade de porta traseira oculta ou outros controis de seguridade de desenvolvemento interno que non están destinados a liberarse nun ambiente de produción.

Exemplo 11: WordPress (desactivación XML-RPC)

XML-RPC é unha función de WordPress que permite a transferencia de datos entre WordPress e outros sistemas. Hoxe foi substituído en gran parte pola API REST, pero aínda está incluído nas instalacións para unha compatibilidade posterior. Se está habilitado en WordPress, un atacante pode realizar ataques de forza bruta, pingback (SSRF), entre outros.

Imaxe xenérica para conclusións do artigo

Conclusión

Agardamos isto "pequena publicación útil" sobre o sitio web chamado «Secure Code Wiki», que ofrece contido valioso relacionado con «Boas prácticas de codificación segura »; é de gran interese e utilidade para o conxunto «Comunidad de Software Libre y Código Abierto» e de gran contribución á difusión do marabilloso, xigantesco e crecente ecosistema de aplicacións de «GNU/Linux».

De momento, se che gustou isto publicación, Non parar compartilo con outros, nos teus sitios web, canles, grupos ou comunidades de redes sociais ou sistemas de mensaxería favoritos, preferentemente gratuítos, abertos e / ou máis seguros como TelegramaSinalizarMastodon ou outro de Fediverse, preferentemente.

E recorda visitar a nosa páxina de inicio en «Desde Linux» para explorar máis novas, así como unirse á nosa canle oficial de Telegrama de DesdeLinuxMentres, para obter máis información, podes visitar calquera Biblioteca en liña como OpenLibra y jedit, para acceder e ler libros dixitais (PDF) sobre este tema ou outros.


O contido do artigo adhírese aos nosos principios de ética editorial. Para informar dun erro faga clic en aquí.

Un comentario, deixa o teu

Deixa o teu comentario

Enderezo de correo electrónico non será publicado.

*

*

  1. Responsable dos datos: Miguel Ángel Gatón
  2. Finalidade dos datos: controlar SPAM, xestión de comentarios.
  3. Lexitimación: o seu consentimento
  4. Comunicación dos datos: os datos non serán comunicados a terceiros salvo obrigación legal.
  5. Almacenamento de datos: base de datos aloxada por Occentus Networks (UE)
  6. Dereitos: en calquera momento pode limitar, recuperar e eliminar a súa información.

  1.   luix dixo

    Artigo interesante, debería ser obrigatorio para todos os desenvolvedores ..

bool (verdadeiro)