לקידום ידע וחינוך, ו מדע וטכנולוגיה באופן כללי, יישום ה- פעולות טובות ויעילות יותר, אמצעים או המלצות (אימונים טובים) כדי להשיג את המטרה הסופית של, להביא לפועל כל פעילות או תהליך.
ו תכנות או פיתוח תוכנה כמו כל פעילות מקצועית ו- IT אחרת, יש לה משלה "אימונים טובים" הקשורים לתחומים רבים, במיוחד כאלה הקשורים ל אבטחה Cybersecurity ממוצרי התוכנה המיוצרים. ובפוסט זה נציג כמה «שיטות קידוד מאובטחות טובות », מאתר מעניין ושימושי שנקרא "Wiki קוד מאובטח", כל כך הרבה על פלטפורמות פיתוח חופשי ופתוח, כפרטי וסגור.
לפני שנכנס לנושא, כרגיל, נעזוב בהמשך כמה קישורים לפרסומים קודמים הקשורים לנושא «שיטות עבודה טובות בתכנות או בפיתוח תוכנה ».
"... שיטות עבודה טובות שהוגשו והופצו על ידי "קוד לפיתוח יוזמה" של בנק הפיתוח הבין-אמריקאי, על היקף תוכנת רישיון, אותם יש לקחת בעת פיתוח מוצרי תוכנה (כלים דיגיטליים), במיוחד חינמיים ופתוחים." רישיונות לפיתוח תוכנה חופשית ופתוחה: שיטות עבודה טובות
Wiki קוד מאובטח: שיטות קידוד מאובטחות טובות
מהי וויקי קוד מאובטח?
כמו שאומר הטקסט שלו אתר:
"Wiki קוד מאובטח הוא שיאו של שיטות קידוד מאובטחות עבור מגוון רחב של שפות."
ואתה תרגול טוב ואתר האינטרנט של "Wiki קוד מאובטח" נוצרו ומתוחזקים על ידי ארגון הודי בשם פיאטו.
דוגמאות לשיטות עבודה טובות לפי סוגי שפות תכנות
מכיוון שהאתר באנגלית, נראה כמה דוגמאות לקידוד מאובטח על שונים שפות תכנות, חלקן בחינם ופתוחות, ואחרות פרטיות וסגורות, המוצעות על ידי האתר האמור לחקור את הפוטנציאל והאיכות של התוכן עמוס.
בנוסף, חשוב להדגיש זאת אימונים טובים מוצג על פלטפורמות פיתוח הבא:
- NET.
- Java
- ג'אווה לאנדרואיד
- קוטלין
- NodeJS
- מטרה C
- PHP
- פיתון
- אוֹדֶם
- סוויפט
- וורדפרס
הם מחולקים לקטגוריות הבאות עבור שפות שולחן עבודה:
- A1 - הזרקה (זריקה)
- A2 - אימות שבור (אימות שבור)
- A3 - חשיפת נתונים רגישים (חשיפה לנתונים רגישים)
- A4 - ישויות חיצוניות XML (ישויות XML חיצוניות / XXE)
- A5 - בקרת גישה פגומה (בקרת גישה שבורה)
- A6 - הגדרת תצורה של אבטחה (תצורה מוטעית של אבטחה)
- A7 - Scripting בין אתרים (Scripting חוצה אתרים / XSS)
- A8 - התנערות לא בטוחה (התנערות חסרת ביטחון)
- A9 - שימוש ברכיבים עם פגיעות ידועות (שימוש ברכיבים עם פגיעות ידועות)
- A10 - רישום ופיקוח לא מספקים (רישום ומעקב לא מספיק)
וגם מחולק לקטגוריות הבאות עבור שפות ניידות:
- M1 - שימוש לא נכון בפלטפורמה (שימוש לא נכון בפלטפורמה)
- M2 - אחסון נתונים לא מאובטח (אחסון נתונים לא מאובטח)
- M3 - תקשורת לא בטוחה (תקשורת לא בטוחה)
- M4 - אימות לא מאובטח (אימות לא מאובטח)
- M5 - הצפנה לא מספקת (קריפטוגרפיה לא מספקת)
- M6 - אישור לא בטוח (אישור לא בטוח)
- M7 - איכות קוד הלקוח (איכות קוד לקוח)
- M8 - מניפולציה בקודים (קידוד קוד)
- M9 - הנדסה לאחור (הנדסה הפוכה)
- M10 - פונקציונליות מוזרה (פונקציונליות חיצונית)
דוגמה 1: .Net (A1- הזרקה)
שימוש במפת מיחסי אובייקט (ORM) או בהליכים מאוחסנים היא הדרך היעילה ביותר להתמודד עם הפגיעות של הזרקת SQL.
דוגמה 2: Java (A2 - אימות שבור)
במידת האפשר, יישם אימות רב-גורמי למניעת מלית אוטומטית, אישורים, כוח אכזרי ושימוש חוזר בהתקפות על אישורים גנובים.
דוגמה 3: Java ל- Android (M3 - תקשורת לא בטוחה)
חובה להחיל SSL / TLS על ערוצי התחבורה המשמשים את היישום הסלולרי להעברת מידע רגיש, אסימונים של הפעלות או נתונים רגישים אחרים ל- API של backend או לשירות אינטרנט.
דוגמה 4: קוטלין (M4 - אימות לא מאובטח)
הימנע מדפוסים חלשים
דוגמה 5: NodeJS (A5 - בקרת גישה גרועה)
בקרות הגישה של המודל צריכות לאכוף את הבעלות על הרשומות, במקום לאפשר למשתמש ליצור, לקרוא, לעדכן או למחוק כל רשומה.
דוגמה 6: מטרה ג '(M6 - אישור ביטחון)
יישומים צריכים להימנע משימוש במספרים שניתן לנחש כהפניה מזהה.
דוגמה 7: PHP (A7 - Scripting Cross Site)
קידד את כל התווים המיוחדים באמצעות htmlspecialchars () או htmlentities () [אם זה נמצא בתגי html].
דוגמה 8: פיתון (A8 - התנערות לא בטוחה)
מודול המלפפון החמוץ וה- jsonpickle אינו בטוח, לעולם אל תשתמש בו כדי לבטל את עריכת הנתונים הלא מהימנים.
דוגמה 9: פייתון (A9 - שימוש ברכיבים עם פגיעויות ידועות)
הפעל את היישום עם המשתמש הפחות מועדף
דוגמה 10: סוויפט (M10 - פונקציונליות מוזרה)
הסר פונקציונליות דלת אחורית נסתרת או בקרות אבטחה פנימיות אחרות של פיתוח שאינן מיועדות להשתחרר בסביבת ייצור.
דוגמה 11: WordPress (השבת XML-RPC)
XML-RPC היא תכונת WordPress המאפשרת העברת נתונים בין WordPress למערכות אחרות. היום הוא הוחלף במידה רבה על ידי ה- REST API, אך הוא עדיין נכלל בהתקנות לצורך תאימות לאחור. אם הוא מופעל בוורדפרס, תוקף יכול לבצע התקפות כוח ברוטו, פינגבק (SSRF), בין היתר.
מסקנה
אנחנו מקווים שזה "פוסט קטן ומועיל" על האתר שנקרא «Secure Code Wiki»
, המציע תוכן בעל ערך הקשור ל «שיטות קידוד מאובטחות טובות »; הוא בעל עניין ותועלת רבה לכל אורכו «Comunidad de Software Libre y Código Abierto»
ותרומה רבה להפצת המערכת האקולוגית הנפלאה, הענקית והצומחת של יישומים של «GNU/Linux»
.
לעת עתה, אם אהבת את זה publicación
, אל תפסיק שתף את זה עם אחרים, באתרים, בערוצים, בקבוצות או בקהילות הרשתות החברתיות או מערכות ההודעות המועדפות עליך, רצוי בחינם, פתוח ו / או מאובטח יותר כ מברק, לאותת, מסטודון או אחר של פדיברס, רצוי.
וזכרו לבקר בדף הבית שלנו בכתובת «DesdeLinux» לחקור חדשות נוספות ולהצטרף לערוץ הרשמי שלנו מברק של DesdeLinux. בעוד, למידע נוסף, תוכלו לבקר בכל אחד מהם ספרייה מקוונת כמו OpenLibra y ג'דיט, כדי לגשת ולקרוא ספרים דיגיטליים (קובצי PDF) בנושא זה או אחרים.
מאמר מעניין, זה צריך להיות חובה עבור כל מפתח ..