Az előléptetéshez Tudás és oktatásés a Tudomány és technológia Általánosságban mindig is kiemelt fontosságú volt a program végrehajtása jobb és hatékonyabb cselekvések, intézkedések vagy ajánlások (Jó gyakorlatok) végső céljának elérése, megvalósítani bármilyen tevékenység vagy folyamat.
és Programozás vagy a Szoftverfejlesztés Mint minden más informatikai és szakmai tevékenységnek, ennek is megvan a maga "Jó gyakorlatok" sok szférához kapcsolódik, különösen azokhoz Kiberbiztonság az előállított szoftvertermékek És ebben a bejegyzésben bemutatunk néhányat «Jó biztonságos kódolási gyakorlat »nevű érdekes és hasznos weboldalról "Secure Code Wiki", annyit kb Fejlesztési platformok szabad és nyitott, magán és zárt.
Mielőtt belekezdenénk a témába, a szokásoknak megfelelően később hagyunk néhány linket a témához kapcsolódó korábbi publikációkhoz «Jó gyakorlat a programozásban vagy a szoftverfejlesztésben ».
"… Az Európai Unió által kidolgozott és terjesztett jó gyakorlatok "Fejlesztési Kezdeményezés kódja" az Amerika-közi Fejlesztési Bank Licencszoftver, amelyet figyelembe kell venni a szoftvertermékek (digitális eszközök) fejlesztésekor, különösen szabad és nyitott." Engedélyek szabad és nyílt szoftverek fejlesztésére: Jó gyakorlatok
Secure Code Wiki: Jó biztonságos kódolási gyakorlat
Mi az a Secure Code Wiki?
Ahogy a szövege mondja telek:
"A Secure Code Wiki a biztonságos kódolási gyakorlatok csúcspontja a nyelvek széles körében."
És te jó gyakorlatok és a "Secure Code Wiki" nevű indiai szervezet hozta létre és tartotta fenn Payatus.
Példák a bevált gyakorlatokra programozási nyelvek szerint
Mivel a weboldal angol, ezért megmutatunk néhányat példák a biztonságos kódolásra mintegy különféle programozási nyelvek, egyesek ingyenesek és nyitottak, mások privátok és zártak, amelyeket az említett weboldal kínál fedezze fel a tartalom lehetőségeit és minőségét töltött.
Ezenkívül fontos ezt kiemelni Jó gyakorlatok megjelenik a Fejlesztési platformok következő:
- . NET
- Jáva
- Java Androidra
- Kotlin
- NodeJS
- C célkitűzés
- PHP
- Piton
- Rubin
- Gyors
- WordPress
A következő kategóriákra vannak felosztva az Asztali nyelvek számára:
- A1 - Injekció (Injekció)
- A2 - A hitelesítés megszakadt (Törött hitelesítés)
- A3 - Bizalmas adatok kitettsége (Érzékeny adatok expozíciója)
- A4 - XML külső entitások (XML külső entitások / XXE)
- A5 - Hibás hozzáférés-vezérlés (Törött hozzáférés-vezérlés)
- A6 - Biztonsági dekonfiguráció (Biztonsági hibás konfiguráció)
- A7 - Cross Site Scripting (Helyek közötti szkriptek / XSS)
- A8 - Bizonytalan deserializáció (Bizonytalan deserializáció)
- A9 - ismert sérülékenységű összetevők használata (Ismert biztonsági résű alkatrészek használata)
- A10 - Elégtelen regisztráció és felügyelet (Elégtelen naplózás és figyelés)
És a mobil nyelvek következő kategóriáira is fel lehet osztani:
- M1 - A platform nem megfelelő használata (Helytelen platformhasználat)
- M2 - Nem biztonságos adattárolás (Nem biztonságos adattárolás)
- M3 - Bizonytalan kommunikáció (Bizonytalan kommunikáció)
- M4 - Nem biztonságos hitelesítés (Nem biztonságos hitelesítés)
- M5 - elégtelen kriptográfia (Elégtelen titkosítás)
- M6 - Nem biztonságos engedélyezés (Bizonytalan engedélyezés)
- M7 - Ügyfélkód minősége (Ügyfélkód minőség)
- M8 - Kódmanipuláció (Kódhamisítás)
- M9 - Reverse Engineering (Visszafejtés)
- M10 - Furcsa funkcionalitás (Külső funkcionalitás)
1. példa: .Net (A1- Injection)
Objektum-relációs leképező (ORM) vagy tárolt eljárások használata a leghatékonyabb módszer az SQL injekciós sebezhetőség leküzdésére.
2. példa: Java (A2 - A hitelesítés meghibásodott)
Ahol lehetséges, valósítson meg többtényezős hitelesítést az automatizált, hitelesítő adatok kitömése, a durva erő és az ellopott hitelesítő adatok újrafelhasználásának megakadályozása érdekében.
3. példa: Java for Android (M3 - Nem biztonságos kommunikáció)
Feltétlenül alkalmaznia kell az SSL / TLS-t azokra a szállítási csatornákra, amelyeket a mobil alkalmazás érzékeny információk, munkamenet-tokenek vagy egyéb érzékeny adatok továbbítására használ egy háttér-API-hoz vagy webszolgáltatáshoz.
4. példa: Kotlin (M4 - Nem biztonságos hitelesítés)
Kerülje a gyenge mintákat
5. példa: NodeJS (A5 - Rossz hozzáférés-vezérlés)
A modell hozzáférés-vezérlésének érvényesítenie kell a rekordok tulajdonjogát, nem pedig lehetővé kell tennie a felhasználó számára, hogy bármilyen rekordot létrehozzon, olvasson, frissítsen vagy töröljön.
6. példa: C cél (M6 - Bizonytalan az engedélyezés)
Az alkalmazásoknak kerülniük kell a kitalálható számok azonosító hivatkozásként való használatát.
7. példa: PHP (A7 - Helyszíni szkriptek)
Az összes speciális karakter kódolása htmlspecialchars () vagy htmlentities () használatával [ha html címkékben van].
8. példa: Python (A8 - Nem biztonságos deserializáció)
A savanyúság és a jsonpickle modul nem biztonságos, soha ne használja a nem megbízható adatok deszerializálására.
9. példa: Python (A9 - Komponensek használata ismert sérülékenységekkel)
Futtassa az alkalmazást a legkevésbé kiváltságos felhasználóval
10. példa: Swift (M10 - Furcsa funkcionalitás)
Távolítsa el a rejtett hátsó ajtó funkcionalitását vagy más belső fejlesztési biztonsági vezérlőket, amelyeket nem terveznek kiadni éles környezetben.
11. példa: WordPress (XML-RPC letiltás)
Az XML-RPC egy WordPress szolgáltatás, amely lehetővé teszi az adatátvitelt a WordPress és más rendszerek között. Ma a REST API nagyrészt felváltotta, de a visszamenőleges kompatibilitás érdekében még mindig benne van a telepítésekben. Ha engedélyezve van a WordPress alkalmazásban, a támadó többek között nyers erővel, pingback (SSRF) támadásokat is végrehajthat.
Következtetés
Reméljük ezt "hasznos kis bejegyzés" nevű weboldalról «Secure Code Wiki»
, amely értékes tartalmat kínál a «Jó biztonságos kódolási gyakorlat »; nagy érdeklődés és hasznosság az egész számára «Comunidad de Software Libre y Código Abierto»
és nagyban hozzájárulnak a CSB csodálatos, gigantikus és növekvő ökoszisztémájának elterjedéséhez «GNU/Linux»
.
Egyelőre, ha ez tetszett publicación
, Ne hagyd abba ossza meg másokkal, kedvenc webhelyein, csatornáin, közösségi hálózatok vagy üzenetküldő rendszerek csoportjain vagy közösségén, lehetőleg ingyenesen, nyíltan és / vagy biztonságosabb módon Telegram, Jel, Masztodon vagy egy másik Fediverse, lehetőleg.
És ne felejtsen el ellátogatni a honlapunkra a címen «DesdeLinux» további hírek felfedezéséhez, valamint csatlakozáshoz a Távirata DesdeLinux. Míg további információkért látogasson el bármelyikre Online könyvtár mint OpenLibra y jEdit, hogy hozzáférhessen és olvashasson erről a témáról vagy másokról szóló digitális könyveket (PDF).
Érdekes cikk, kötelezővé kell tenni minden fejlesztő számára.