„Secure Code Wiki“: gero saugaus kodavimo žiniatinklis

„Secure Code Wiki“: gero saugaus kodavimo žiniatinklis

„Secure Code Wiki“: gero saugaus kodavimo žiniatinklis

Dėl pažangos Žinios ir išsilavinimasIr Mokslas ir technologijos Apskritai, įgyvendinant geresni ir veiksmingesni veiksmai, priemones ar rekomendacijas (Geroji praktika) pasiekti galutinį tikslą, sėkmingai atlikti bet kokia veikla ar procesas.

ir programavimas o el Programinės įrangos kūrimas Kaip ir bet kuri kita profesinė ir IT veikla, ji turi savo „Geroji praktika“ susijusi su daugeliu sferų, ypač susijusių su Kibernetinė sauga pagamintų programinės įrangos produktų. O šiame įraše pateiksime keletą «Gera saugaus kodavimo praktika », iš įdomios ir naudingos svetainės pavadinimu „Saugaus kodo Wiki“, tiek apie Plėtros platformos nemokama ir atvira, kaip privati ​​ir uždara.

Laisvos ir atviros programinės įrangos kūrimo licencijos: geroji patirtis

Laisvos ir atviros programinės įrangos kūrimo licencijos: geroji patirtis

Prieš gilindamiesi į temą, kaip įprasta, žemiau paliksime keletą nuorodų į ankstesnius su tema susijusius leidinius «Geroji programavimo ar programinės įrangos kūrimo praktika».

"… Geroji praktika, kurią sukūrė ir skleidžia "Vystymosi iniciatyvos kodas" Amerikos plėtros banko, srityje Licencijos programinė įranga, kurių reikia imtis kuriant programinės įrangos produktus (skaitmeninius įrankius), ypač nemokamus ir atvirus." Laisvos ir atviros programinės įrangos kūrimo licencijos: geroji patirtis

Laisvos ir atviros programinės įrangos kūrimo licencijos: geroji patirtis
Susijęs straipsnis:
Laisvos ir atviros programinės įrangos kūrimo licencijos: geroji patirtis
Techninė kokybė: geroji nemokamos programinės įrangos kūrimo praktika
Susijęs straipsnis:
Techninė kokybė: geroji nemokamos programinės įrangos kūrimo praktika
Dokumentacija: nemokamos ir atviros programinės įrangos kūrimo geroji patirtis
Susijęs straipsnis:
Geroji nemokamos ir atviros programinės įrangos kūrimo praktika: dokumentacija

Saugaus kodo Wiki: gera saugaus kodavimo praktika

Saugaus kodo Wiki: gera saugaus kodavimo praktika

Kas yra saugaus kodo wiki?

Kaip sakoma jos tekste vieta:

"Secure Code Wiki yra saugaus kodavimo praktikos kulminacija įvairiomis kalbomis."

Ir tu esi gerą praktiką ir svetainė „Saugaus kodo Wiki“ sukūrė ir prižiūri Indijos organizacija Payatu.

Geros praktikos pavyzdžiai pagal programavimo kalbų tipus

Kadangi svetainė yra anglų kalba, kai kurias parodysime saugaus kodavimo pavyzdžiai apie įvairius programavimo kalbos, kai kurie nemokami ir atviri, o kiti privatūs ir uždari, kuriuos siūlo minėta svetainė ištirti turinio potencialą ir kokybę pakrautas.

Be to, svarbu pabrėžti, kad Geroji patirtis parodyta ant Plėtros platformos taip:

  • . NET
  • Java
  • „Java“, skirta „Android“.
  • Kotlinas
  • NodeJS
  • C tikslas
  • PHP
  • Pitonas
  • rubinas
  • greitai
  • WordPress

Jie skirstomi į šias darbalaukio kalbų kategorijas:

  • A1 – Įpurškimas (Injekcija)
  • A2 – sugadintas autentifikavimas (Sugadintas autentifikavimas)
  • A3 – neskelbtinų duomenų atskleidimas (neskelbtų duomenų eksponavimas)
  • A4 – XML išoriniai objektai (XML išoriniai objektai / XXE)
  • A5 – Sugedęs prieigos valdymas (Sugadinta prieigos kontrolė)
  • A6 – netinkama saugos konfigūracija (Neteisinga saugos konfigūracija)
  • A7 – kelių svetainių scenarijus (Kelių svetainių scenarijų kūrimas / XSS)
  • A8 – nesaugus deserializavimas (Nesaugus deserializavimas)
  • A9 – komponentų su žinomomis pažeidžiamumu naudojimas (Naudojant komponentus su žinomomis pažeidžiamumu)
  • A10 – Nepakankama registracija ir priežiūra (Nepakankamas registravimas ir stebėjimas)

Taip pat suskirstyta į šias mobiliųjų kalbų kategorijas:

  • M1 – Netinkamas platformos naudojimas (Netinkamas platformos naudojimas)
  • M2 – nesaugus duomenų saugojimas (nesaugi duomenų saugykla)
  • M3 – Nesaugus ryšys (nesaugus bendravimas)
  • M4 – nesaugus autentifikavimas (Nesaugus autentifikavimas)
  • M5 – Nepakankama kriptografija (Nepakankama kriptografija)
  • M6 – nesaugus autorizavimas (Nesaugus įgaliojimas)
  • M7 – Kliento kodo kokybė (Kliento kodo kokybė)
  • M8 – Kodo manipuliavimas (Kodo klastojimas)
  • M9 – atvirkštinė inžinerija (Atvirkštinės inžinerijos)
  • M10 – Keistas funkcionalumas (Keistas funkcionalumas)

1 pavyzdys: .Net (A1 – įpurškimas)

Objektų reliacinio žemėlapio (ORM) arba saugomų procedūrų naudojimas yra veiksmingiausias būdas kovoti su SQL injekcijos pažeidžiamumu.

2 pavyzdys: Java (A2 – sugadintas autentifikavimas)

Kiek įmanoma, įgyvendinkite kelių veiksnių autentifikavimą, kad išvengtumėte automatizuotų, kredencialų užpildymo, brutalios jėgos ir pavogtų kredencialų pakartotinio naudojimo atakų.

3 pavyzdys: „Java“, skirta „Android“ (M3 – nesaugus ryšys)

Labai svarbu taikyti SSL/TLS perdavimo kanalams, kuriuos naudoja mobilioji programa, kad būtų galima perduoti neskelbtiną informaciją, seanso prieigos raktus ar kitus slaptus duomenis į užpakalinę API arba žiniatinklio paslaugą.

4 pavyzdys: Kotlin (M4 – nesaugus autentifikavimas)

Venkite silpnų raštų

5 pavyzdys: NodeJS (A5 – netinkamas prieigos valdymas)

Modelio prieigos valdikliai turėtų užtikrinti nuosavybės teisę į įrašus, o ne leisti vartotojui kurti, skaityti, atnaujinti ar ištrinti bet kokį įrašą.

6 pavyzdys: C tikslas (M6 – nesaugus autorizavimas)

Programos turėtų vengti naudoti atspėjamus skaičius kaip identifikavimo nuorodą.

7 pavyzdys: PHP (A7 – kelių svetainių scenarijus)

Užkoduokite visus specialiuosius simbolius naudodami htmlspecialchars() arba htmlentities() [jei yra html žymose].

8 pavyzdys: Python (A8 – nesaugus serializavimas)

Pickle and jsonpickle modulis nėra saugus, niekada nenaudokite jo nepatikimų duomenų deserializavimui.

9 pavyzdys: Python (A9 – komponentų su žinomais pažeidžiamumas naudojimas)

Paleiskite programą kaip mažiausiai privilegijuotą vartotoją

10 pavyzdys: „Swift“ (M10 – keista funkcija)

Pašalinkite paslėptas galinių durų funkcijas arba kitus vidinius kūrimo saugos valdiklius, kurių neketinama išleisti į gamybos aplinką.

11 pavyzdys: „WordPress“ (išjungti XML-RPC)

XML-RPC yra „WordPress“ funkcija, leidžianti perduoti duomenis tarp „WordPress“ ir kitų sistemų. Dabar jį iš esmės pakeitė REST API, tačiau jis vis dar įtrauktas į diegimus, kad būtų galima suderinti atgal. Jei „WordPress“ įgalinta, užpuolikas, be kita ko, gali atlikti žiaurios jėgos atakas, pingback (SSRF).

Bendras straipsnio išvadų vaizdas

Išvada

Mes to tikimės "naudingas mažas įrašas" apie vadinamą svetainę «Secure Code Wiki», kuri siūlo vertingą turinį, susijusį su «Gera saugaus kodavimo praktika »; yra labai įdomus ir naudingas visam «Comunidad de Software Libre y Código Abierto» ir labai prisideda skleidžiant nuostabią, gigantišką ir vis didėjančią ESG ekosistemą «GNU/Linux».

Kol kas, jei jums tai patiko publicación, Nesustok pasidalink su kitais savo mėgstamose svetainėse, kanaluose, socialinių tinklų ar susirašinėjimo sistemų grupėse ar bendruomenėse, pageidautina nemokamai, atvirai ir (arba) saugiau, TelegramsignalasMastadonas ar kitas iš Fediverse, pageidautina.

Nepamirškite apsilankyti mūsų pagrindiniame puslapyje «DesdeLinux» ištirti daugiau naujienų ir prisijungti prie mūsų oficialaus kanalo Telegrama iš DesdeLinuxNors, norėdami gauti daugiau informacijos, galite apsilankyti bet kuriame Internetinė biblioteka kaip „OpenLibra“ y jeditas, prieiti ir skaityti skaitmenines knygas (PDF) šia ar kitomis temomis.


Komentaras, palikite savo

Palikite komentarą

Jūsų elektroninio pašto adresas nebus skelbiamas. Privalomi laukai yra pažymėti *

*

*

  1. Atsakingas už duomenis: Miguel Ángel Gatón
  2. Duomenų paskirtis: kontroliuoti šlamštą, komentarų valdymą.
  3. Įteisinimas: jūsų sutikimas
  4. Duomenų perdavimas: Duomenys nebus perduoti trečiosioms šalims, išskyrus teisinius įsipareigojimus.
  5. Duomenų saugojimas: „Occentus Networks“ (ES) talpinama duomenų bazė
  6. Teisės: bet kuriuo metu galite apriboti, atkurti ir ištrinti savo informaciją.

  1.   liuksas sakė

    Įdomus straipsnis, turėtų būti privalomas kiekvienam kūrėjui.