Коопсуз Коду Вики: Коопсуз коддоо жакшы тажрыйбалардын желе

Коопсуз Коду Вики: Коопсуз коддоо жакшы тажрыйбалардын желе

Коопсуз Коду Вики: Коопсуз коддоо жакшы тажрыйбалардын желе

Илгерилөө үчүн Билим жана билим, ал эми Илим жана технология Жалпысынан алганда, аны ишке ашыруу ар дайым өзгөчө мааниге ээ болуп келген жакшыраак жана натыйжалуу иш-аракеттер, чаралар же сунуштар (Жакшы тажрыйба) акыркы максатына жетүү үчүн, жемишке жеткирүү кандайдыр бир иш-аракет же процесс.

жана программалоо же Программалык камсыздоону иштеп чыгуу Башка кесиптик жана IT иш-аракеттери сыяктуу эле, ал дагы өзүнө таандык "Жакшы тажрыйба" көптөгөн чөйрөлөр менен байланышкан, айрыкча байланыштуу Кибер коопсуздук өндүрүлгөн программалык продуктулардын. Жана бул постто биз айрымдарын сунуш кылабыз «Жакшы Коопсуз Коддоо Практикасы », деп аталган кызыктуу жана пайдалуу веб-сайтынан "Коопсуз Код Wiki", ушунчалык көп Өнүгүү платформалары эркин жана ачык, жеке жана жабык.

Акысыз жана ачык программаны иштеп чыгууга лицензиялар: Жакшы тажрыйба

Акысыз жана ачык программаны иштеп чыгууга лицензиялар: Жакшы тажрыйба

Темага кирерден мурун, адаттагыдай эле, мурунку басылмалардын темасына байланыштуу айрым шилтемелерди кийинчерээк калтырабыз «Программалоо же Программалык камсыздоону иштеп чыгуу боюнча жакшы тажрыйбалар ».

«... тарабынан иштелип чыккан жана жайылтылган жакшы тажрыйбалар «Өнүктүрүү Демилгесинин коду« чөйрөсүндө Америка аралык Өнүктүрүү Банкынын Лицензиялык программапрограммалык продуктуларды (санарип куралдары) иштеп чыгууда кабыл алынышы керек, айрыкча эркин жана ачык.« Акысыз жана ачык программаны иштеп чыгууга лицензиялар: Жакшы тажрыйба

Окшош макала:
Акысыз жана ачык программаны иштеп чыгууга лицензиялар: Жакшы тажрыйба

Окшош макала:
Техникалык сапат: Акысыз Программаны иштеп чыгуунун жакшы тажрыйбалары
Окшош макала:
Акысыз жана ачык Программаны иштеп чыгуу боюнча жакшы тажрыйбалар: Документтер

Коопсуз Код Вики: Жакшы Коопсуз Коддоо Практикасы

Коопсуз Код Вики: Жакшы Коопсуз Коддоо Практикасы

Secure Code Wiki деген эмне?

Анын текстинде айтылгандай сайты:

«Коопсуз Код Wiki - бул тилдердин кеңири спектрин коддоо практикасынын туу чокусу.«

А сен жакшы тажрыйба жана сайты "Коопсуз Код Wiki" аттуу индиялык уюм тарабынан түзүлгөн жана колдоого алынган Пайату.

Программалоо тилдеринин түрлөрү боюнча жакшы тажрыйбалардын мисалдары

Вебсайт англис тилинде болгондуктан, айрымдарын көрсөтөбүз коопсуз коддоо мисалдары жөнүндө ар кандай программалоо тилдери, айрымдары ачык жана ачык, ал эми айрымдары жеке жана жабык, деп аталган сайт сунуш кылган мазмундун потенциалын жана сапатын изилдөө жүктөлдү.

Мындан тышкары, муну баса белгилөө маанилүү Жакшы тажрыйбалар көрсөтүлгөн Өнүгүү платформалары төмөнкү:

  • .NET
  • Java
  • Java үчүн Android
  • Kotlin
  • NodeJS
  • Максаты C
  • PHP
  • Python
  • лаал
  • Күлүк
  • WordPress

Алар Иш такта тилдери үчүн төмөнкү категорияларга бөлүнөт:

  • A1 - сайма (Инъекция)
  • A2 - Аутентификация бузулган (Бузулган аныктыгын текшерүү)
  • A3 - сезимтал маалыматтардын таасири (Сезимтал маалыматтардын таасири)
  • A4 - XML ​​тышкы жактар (XML тышкы жактар ​​/ XXE)
  • A5 - Жеткиликтүүлүктү туура эмес башкаруу (Бузулган мүмкүндүк башкаруу)
  • A6 - Коопсуздукту деконфигурациялоо (Коопсуздукту туура эмес конфигурациялоо)
  • A7 - Сайттын сценарийи (Сайттар аралык сценарий / XSS)
  • A8 - Кооптуу дезериализация (Коопсуз эмес дезериализация)
  • A9 - белгилүү аялуу жерлери бар компоненттерди колдонуу (Белгилүү бир кемчиликтери бар компоненттерди колдонуу)
  • A10 - каттоо жана көзөмөлдөө жетишсиз (Кирүү жана мониторинг жүргүзүү жетишсиз)

Ошондой эле мобилдик тилдер үчүн төмөнкү категорияларга бөлүнөт:

  • M1 - платформаны туура эмес колдонуу (Платформаны туура эмес колдонуу)
  • M2 - Кооптуу маалыматтарды сактоо (Кооптуу маалыматтарды сактоо)
  • M3 - Кооптуу байланыш (Кооптуу байланыш)
  • M4 - Кооптуу аутентификация (Кооптуу аутентификация)
  • M5 - жетишсиз криптография (Шифрлөө жетишсиз)
  • M6 - Кооптуу авторизация (Кооптуу авторизация)
  • M7 - Кардардын кодунун сапаты (Кардар кодунун сапаты)
  • M8 - Код менен иштөө (Кодду бурмалоо)
  • M9 - Тескери инженерия (Reverse Engineering)
  • M10 - кызыктай иштөө (Бөтөн функционалдык)

1-мисал: .Net (A1- Инъекция)

Объекттин реляциялык картачысын (ORM) же сакталган процедураларды колдонуу SQL инжекциясынын алсыздыгына каршы туруунун эң натыйжалуу жолу болуп саналат.

2-мисал: Java (A2 - Аныктыгын текшерүү бузулган)

Мүмкүн болушунча, автоматташтырылган, ишеним грамоталарынын толтурулушун, орой күч колдонулушун алдын алуу жана уурдалган маалыматтарга кол салууларды кайра колдонуу үчүн көп факторлуу аутентификацияны ишке ашырыңыз.

3-мисал: Android үчүн Java (M3 - Кооптуу байланыш)

SSL / TLS мобилдик тиркеме колдонгон транспорттук каналдарга жашыруун маалыматты, сеанс белгилерин же башка купуя маалыматтарды backend API же веб кызматына өткөрүү үчүн колдонуу керек.

4-мисал: Котлин (M4 - Кооптуу аутентификация)

Алсыз үлгүлөрдөн алыс болуңуз

5-мисал: NodeJS (A5 - Жаман мүмкүндүк алууну башкаруу)

Моделдин жеткиликтүүлүгүн көзөмөлдөө колдонуучуга каалаган жазууну түзүүгө, окууга, жаңыртууга же жок кылууга жол бербестен, жазууларга ээлик кылууну камсыз кылышы керек.

6-мисал: Максат C (M6 - Авторизациялык кооптуу)

Тиркемелер болжолдуу сандарды аныктоочу шилтеме катары колдонуудан алыс болушу керек.

7-мисал: PHP (A7 - Сайттын сценарийи)

Бардык атайын белгилерди htmlspecialchars () же htmlentities () колдонуп коддоңуз [эгер ал HTML тегдеринде болсо].

8-мисал: Python (A8 - Коопсуз эмес дезериализация)

Pickle and jsonpickle модулу коопсуз эмес, аны эч качан ишенимсиз маалыматтарды сериализациялоо үчүн колдонбоңуз.

9-мисал: Python (A9 - Белгилүү бир кемчиликтери бар компоненттерди колдонуу)

Колдонмону эң аз артыкчылыктуу колдонуучу менен иштетүү

Мисал 10: Свифт (M10 - Кызык иштөө мүмкүнчүлүгү)

Жашыруун арткы эшик функциясын же өндүрүш чөйрөсүндө чыгарууга арналбаган башка ички өнүгүү коопсуздук көзөмөлүн алып салыңыз.

Мисал 11: WordPress (XML-RPC өчүрүү)

XML-RPC - бул WordPress өзгөчөлүгү, ал WordPress жана башка тутумдар ортосунда маалыматтарды өткөрүүгө мүмкүнчүлүк берет. Бүгүнкү күндө ал негизинен REST API менен алмаштырылган, бирок дагы деле болсо арткы шайкештик үчүн орнотууларга киргизилген. Эгер WordPress'те иштетилсе, чабуулчу башкаларга катар орой күч, пингбэк (SSRF) чабуулдарын жасай алат.

Макаланын корутундусу үчүн жалпы сүрөт

жыйынтыктоо

Биз муну үмүттөнөбүз «пайдалуу кичинекей билдирүү« аттуу веб-сайт жөнүндө «Secure Code Wiki», байланыштуу баалуу мазмунду сунуш кылган «Жакшы Коопсуз Коддоо Практикасы »; жалпы кызыкчылыгы жана пайдалуулугу чоң «Comunidad de Software Libre y Código Abierto» жана тиркемелеринин эң сонун, гигант жана өсүп жаткан экосистемасынын жайылышына чоң салым кошту «GNU/Linux».

Азырынча бул сизге жакса publicación, Токтобо үлүшү башкалар менен, сүйүктүү веб-сайттарыңызда, каналдарыңызда, социалдык тармактардагы топтордо же жамааттарда же билдирүү тутумдарында, акысыз, ачык жана / же кыйла коопсузураак телеграммасигналMastodon же башка Fediverse, артыкчылыктуу.

Жана биздин үй баракчабызга баш багууну унутпаңыз «FromLinux» көбүрөөк жаңылыктарды изилдөө, ошондой эле биздин расмий каналга кошулуу FromLinuxтен телеграммаАл эми, көбүрөөк маалымат алуу үчүн, каалаганына бара аласыз Онлайн китепкана Кой OpenLibra y JedIT, ушул темада же башкаларда санарип китептерге (PDF) кирүү жана окуу.


Макаланын мазмуну биздин принциптерге карманат редакциялык этика. Ката жөнүндө кабарлоо үчүн чыкылдатыңыз бул жерде.

Комментарий, өзүңүз калтырыңыз

Комментарий калтырыңыз

Сиздин электрондук почта дареги жарыяланбайт. Милдеттүү талаалар менен белгиленет *

*

*

  1. Маалыматтар үчүн жооптуу: Мигель Анхель Гатан
  2. Маалыматтын максаты: СПАМды көзөмөлдөө, комментарийлерди башкаруу.
  3. Мыйзамдуулук: Сиздин макулдугуңуз
  4. Маалыматтарды берүү: Маалыматтар үчүнчү жактарга юридикалык милдеттенмелерден тышкары билдирилбейт.
  5. Маалыматтарды сактоо: Occentus Networks (ЕС) тарабынан уюштурулган маалыматтар базасы
  6. Укуктар: Каалаган убакта маалыматыңызды чектеп, калыбына келтирип жана жок кыла аласыз.

  1.   luix ал мындай деди:

    Кызыктуу макала, ал ар бир иштеп чыгуучу үчүн милдеттүү болушу керек ..