Secure Code Wiki: A biztonságos kódolással kapcsolatos bevált gyakorlatok webe

Secure Code Wiki: A biztonságos kódolással kapcsolatos bevált gyakorlatok webe

Az előléptetéshez Tudás és oktatásés a Tudomány és technológia Általánosságban mindig is kiemelt fontosságú volt a program végrehajtása jobb és hatékonyabb cselekvések, intézkedések vagy ajánlások (Jó gyakorlatok) végső céljának elérése, megvalósítani bármilyen tevékenység vagy folyamat.

és Programozás vagy a Szoftverfejlesztés Mint minden más informatikai és szakmai tevékenységnek, ennek is megvan a maga "Jó gyakorlatok" sok szférához kapcsolódik, különösen azokhoz Kiberbiztonság az előállított szoftvertermékek És ebben a bejegyzésben bemutatunk néhányat «Jó biztonságos kódolási gyakorlat »nevű érdekes és hasznos weboldalról "Secure Code Wiki", annyit kb Fejlesztési platformok szabad és nyitott, magán és zárt.

Engedélyek szabad és nyílt szoftverek fejlesztésére: Jó gyakorlatok

Mielőtt belekezdenénk a témába, a szokásoknak megfelelően később hagyunk néhány linket a témához kapcsolódó korábbi publikációkhoz «Jó gyakorlat a programozásban vagy a szoftverfejlesztésben ».

"… Az Európai Unió által kidolgozott és terjesztett jó gyakorlatok "Fejlesztési Kezdeményezés kódja" az Amerika-közi Fejlesztési Bank Licencszoftver, amelyet figyelembe kell venni a szoftvertermékek (digitális eszközök) fejlesztésekor, különösen szabad és nyitott." Engedélyek szabad és nyílt szoftverek fejlesztésére: Jó gyakorlatok

Kapcsolódó cikk:

Engedélyek szabad és nyílt szoftverek fejlesztésére: Jó gyakorlatok

Kapcsolódó cikk:

Műszaki minőség: Jó gyakorlatok a szabad szoftver fejlesztésében

Kapcsolódó cikk:

Jó gyakorlatok az ingyenes és nyílt szoftver fejlesztéséhez: Dokumentáció

Secure Code Wiki: Jó biztonságos kódolási gyakorlat

Mi az a Secure Code Wiki?

Ahogy a szövege mondja telek:

"A Secure Code Wiki a biztonságos kódolási gyakorlatok csúcspontja a nyelvek széles körében."

És te jó gyakorlatok és a "Secure Code Wiki" nevű indiai szervezet hozta létre és tartotta fenn Payatus.

Példák a bevált gyakorlatokra programozási nyelvek szerint

Mivel a weboldal angol, ezért megmutatunk néhányat példák a biztonságos kódolásra mintegy különféle programozási nyelvek, egyesek ingyenesek és nyitottak, mások privátok és zártak, amelyeket az említett weboldal kínál fedezze fel a tartalom lehetőségeit és minőségét töltött.

Ezenkívül fontos ezt kiemelni Jó gyakorlatok megjelenik a Fejlesztési platformok következő:

• . NET
• Jáva
• Java Androidra
• Kotlin
• NodeJS
• C célkitűzés
• PHP
• Piton
• Rubin
• Gyors
• WordPress

A következő kategóriákra vannak felosztva az Asztali nyelvek számára:

• A1 - Injekció (Injekció)
• A2 - A hitelesítés megszakadt (Törött hitelesítés)
• A3 - Bizalmas adatok kitettsége (Érzékeny adatok expozíciója)
• A4 - XML ​​külső entitások (XML külső entitások / XXE)
• A5 - Hibás hozzáférés-vezérlés (Törött hozzáférés-vezérlés)
• A6 - Biztonsági dekonfiguráció (Biztonsági hibás konfiguráció)
• A7 - Cross Site Scripting (Helyek közötti szkriptek / XSS)
• A8 - Bizonytalan deserializáció (Bizonytalan deserializáció)
• A9 - ismert sérülékenységű összetevők használata (Ismert biztonsági résű alkatrészek használata)
• A10 - Elégtelen regisztráció és felügyelet (Elégtelen naplózás és figyelés)

És a mobil nyelvek következő kategóriáira is fel lehet osztani:

• M1 - A platform nem megfelelő használata (Helytelen platformhasználat)
• M2 - Nem biztonságos adattárolás (Nem biztonságos adattárolás)
• M3 - Bizonytalan kommunikáció (Bizonytalan kommunikáció)
• M4 - Nem biztonságos hitelesítés (Nem biztonságos hitelesítés)
• M5 - elégtelen kriptográfia (Elégtelen titkosítás)
• M6 - Nem biztonságos engedélyezés (Bizonytalan engedélyezés)
• M7 - Ügyfélkód minősége (Ügyfélkód minőség)
• M8 - Kódmanipuláció (Kódhamisítás)
• M9 - Reverse Engineering (Visszafejtés)
• M10 - Furcsa funkcionalitás (Külső funkcionalitás)

1. példa: .Net (A1- Injection)

Objektum-relációs leképező (ORM) vagy tárolt eljárások használata a leghatékonyabb módszer az SQL injekciós sebezhetőség leküzdésére.

2. példa: Java (A2 - A hitelesítés meghibásodott)

Ahol lehetséges, valósítson meg többtényezős hitelesítést az automatizált, hitelesítő adatok kitömése, a durva erő és az ellopott hitelesítő adatok újrafelhasználásának megakadályozása érdekében.

3. példa: Java for Android (M3 - Nem biztonságos kommunikáció)

Feltétlenül alkalmaznia kell az SSL / TLS-t azokra a szállítási csatornákra, amelyeket a mobil alkalmazás érzékeny információk, munkamenet-tokenek vagy egyéb érzékeny adatok továbbítására használ egy háttér-API-hoz vagy webszolgáltatáshoz.

4. példa: Kotlin (M4 - Nem biztonságos hitelesítés)

Kerülje a gyenge mintákat

5. példa: NodeJS (A5 - Rossz hozzáférés-vezérlés)

A modell hozzáférés-vezérlésének érvényesítenie kell a rekordok tulajdonjogát, nem pedig lehetővé kell tennie a felhasználó számára, hogy bármilyen rekordot létrehozzon, olvasson, frissítsen vagy töröljön.

6. példa: C cél (M6 - Bizonytalan az engedélyezés)

Az alkalmazásoknak kerülniük kell a kitalálható számok azonosító hivatkozásként való használatát.

7. példa: PHP (A7 - Helyszíni szkriptek)

Az összes speciális karakter kódolása htmlspecialchars () vagy htmlentities () használatával [ha html címkékben van].

8. példa: Python (A8 - Nem biztonságos deserializáció)

A savanyúság és a jsonpickle modul nem biztonságos, soha ne használja a nem megbízható adatok deszerializálására.

9. példa: Python (A9 - Komponensek használata ismert sérülékenységekkel)

Futtassa az alkalmazást a legkevésbé kiváltságos felhasználóval

10. példa: Swift (M10 - Furcsa funkcionalitás)

Távolítsa el a rejtett hátsó ajtó funkcionalitását vagy más belső fejlesztési biztonsági vezérlőket, amelyeket nem terveznek kiadni éles környezetben.

11. példa: WordPress (XML-RPC letiltás)

Az XML-RPC egy WordPress szolgáltatás, amely lehetővé teszi az adatátvitelt a WordPress és más rendszerek között. Ma a REST API nagyrészt felváltotta, de a visszamenőleges kompatibilitás érdekében még mindig benne van a telepítésekben. Ha engedélyezve van a WordPress alkalmazásban, a támadó többek között nyers erővel, pingback (SSRF) támadásokat is végrehajthat.

Következtetés

Reméljük ezt "hasznos kis bejegyzés" nevű weboldalról «Secure Code Wiki», amely értékes tartalmat kínál a «Jó biztonságos kódolási gyakorlat »; nagy érdeklődés és hasznosság az egész számára «Comunidad de Software Libre y Código Abierto» és nagyban hozzájárulnak a CSB csodálatos, gigantikus és növekvő ökoszisztémájának elterjedéséhez «GNU/Linux».

Egyelőre, ha ez tetszett publicación, Ne hagyd abba ossza meg másokkal, kedvenc webhelyein, csatornáin, közösségi hálózatok vagy üzenetküldő rendszerek csoportjain vagy közösségén, lehetőleg ingyenesen, nyíltan és / vagy biztonságosabb módon Telegram, Jel, Masztodon vagy egy másik Fediverse, lehetőleg.

És ne felejtsen el ellátogatni a honlapunkra a címen «DesdeLinux» további hírek felfedezéséhez, valamint csatlakozáshoz a Távirata DesdeLinux. Míg további információkért látogasson el bármelyikre Online könyvtár mint OpenLibra y jEdit, hogy hozzáférhessen és olvashasson erről a témáról vagy másokról szóló digitális könyveket (PDF).