„Secure Code Wiki“: gero saugaus kodavimo žiniatinklis
Dėl pažangos Žinios ir švietimasIr Mokslas ir technologijos Apskritai, visada buvo nepaprastai svarbu įgyvendinti geresni ir efektyvesni veiksmai, priemonės ar rekomendacijos (Geroji praktika) pasiekti galutinį tikslą, realizuoti bet kokia veikla ar procesas.
ir programavimas o el Programinės įrangos kūrimas Kaip ir bet kuri kita IT ir profesinė veikla, ji turi savo „Geroji patirtis“ susijęs su daugeliu sferų, ypač susijusių su Kibernetinė sauga pagamintų programinės įrangos produktų. Ir šiame įraše pateiksime keletą «Geros saugios kodavimo praktikos »iš įdomios ir naudingos svetainės, vadinamos „Saugaus kodo Wiki“, tiek apie Plėtros platformos laisvas ir atviras, kaip privatus ir uždaras.
Laisvos ir atviros programinės įrangos kūrimo licencijos: geroji patirtis
Prieš pradėdami nagrinėti temą, kaip įprasta, vėliau paliksime keletą nuorodų į ankstesnius leidinius, susijusius su tema «Geroji programavimo ar programinės įrangos kūrimo praktika ».
"… Geroji patirtis, kurią sukūrė ir skleidė "Vystymosi iniciatyvos kodas" Amerikos plėtros banko, dėl taikymo srities Licencijos programinė įranga, kurių reikia imtis kuriant programinės įrangos produktus (skaitmeninius įrankius), ypač nemokamus ir atvirus." Laisvos ir atviros programinės įrangos kūrimo licencijos: geroji patirtis
Rodiklis
- 1 Saugaus kodo „Wiki“: gera saugaus kodavimo praktika
- 1.1 Kas yra „Secure Code Wiki“?
- 1.2 Geros praktikos pavyzdžiai pagal programavimo kalbų rūšis
- 1.2.1 1 pavyzdys: .Net (A1 - injekcija)
- 1.2.2 2 pavyzdys: „Java“ (A2 - autentifikavimas neveikia)
- 1.2.3 3 pavyzdys: „Android“ skirta „Java“ (M3 - nesaugus ryšys)
- 1.2.4 4 pavyzdys: „Kotlin“ (M4 - nesaugus autentifikavimas)
- 1.2.5 5 pavyzdys: „NodeJS“ (A5 - netinkama prieigos kontrolė)
- 1.2.6 6 pavyzdys: C tikslas (M6 - nesaugus įgaliojimas)
- 1.2.7 7 pavyzdys: PHP (A7 - kelių svetainių scenarijai)
- 1.2.8 8 pavyzdys: „Python“ (A8 - nesaugi deserializacija)
- 1.2.9 9 pavyzdys: „Python“ (A9 - komponentų naudojimas su žinomomis pažeidžiamumais)
- 1.2.10 10 pavyzdys: „Swift“ (M10 - keista funkcija)
- 1.2.11 11 pavyzdys: „WordPress“ (išjungti XML-RPC)
- 2 Išvada
Saugaus kodo „Wiki“: gera saugaus kodavimo praktika
Kas yra „Secure Code Wiki“?
Kaip sakoma jos tekste vieta:
"„Secure Code Wiki“ yra saugios kodavimo praktikos, skirtos įvairiausioms kalboms, kulminacija."
Ir tu esi gerą praktiką ir internetinė svetainė „Saugaus kodo Wiki“ sukūrė ir prižiūri vadinama Indijos organizacija Payatus.
Geros praktikos pavyzdžiai pagal programavimo kalbų rūšis
Kadangi svetainė yra anglų kalba, mes jas parodysime saugaus kodavimo pavyzdžiai apie įvairius programavimo kalbos, vieni nemokami ir atviri, o kiti privatūs ir uždari, kuriuos siūlo minėta svetainė ištirti turinio potencialą ir kokybę pakrautas.
Be to, svarbu tai pabrėžti Geroji patirtis rodomas Plėtros platformos taip:
- . NET
- Java
- „Java“ skirta „Android“
- Kotlinas
- NodeJS
- C tikslas
- PHP
- Pitonas
- rubinas
- greitai
- WordPress
Jie skirstomi į šias darbalaukio kalbų kategorijas:
- A1 - injekcija (Injekcija)
- A2 - autentifikavimas neveikia (Sugedęs autentifikavimas)
- A3 - neskelbtinų duomenų atskleidimas (Neskelbtinų duomenų poveikis)
- A4 - XML išoriniai subjektai (XML išoriniai subjektai / XXE)
- A5 - neteisingas prieigos valdymas (Sugadinta prieigos kontrolė)
- A6 - saugos dekonfigūravimas (Neteisinga saugos konfigūracija)
- A7 - kelių svetainių scenarijai (Svetainių scenarijai / XSS)
- A8 - nesaugi deserializacija (Nesaugi deserializacija)
- A9 - komponentų, turinčių žinomų pažeidžiamumų, naudojimas (Naudojant komponentus su žinomais pažeidžiamumais)
- A10 - nepakankama registracija ir priežiūra (Nepakankamas registravimas ir stebėjimas)
Taip pat suskirstytos į šias mobiliųjų kalbų kategorijas:
- M1 - netinkamas platformos naudojimas (Netinkamas platformos naudojimas)
- M2 - nesaugi duomenų saugykla (Nesaugi duomenų saugykla)
- M3 - nesaugus bendravimas (Nesaugus bendravimas)
- M4 - nesaugus autentifikavimas (Nesaugus autentifikavimas)
- M5 - nepakankama kriptografija (Nepakankama kriptografija)
- M6 - nesaugus leidimas (Nesaugus įgaliojimas)
- M7 - kliento kodo kokybė (Kliento kodo kokybė)
- M8 - manipuliavimas kodu (Kodo klastojimas)
- M9 - atvirkštinė inžinerija (Atvirkštinės inžinerijos)
- M10 - keistas funkcionalumas (Pašalinis funkcionalumas)
1 pavyzdys: .Net (A1 - injekcija)
Naudojant objekto reliacinį žemėlapį (ORM) arba saugomas procedūras, efektyviausias būdas atsikratyti SQL injekcijos pažeidžiamumo.
2 pavyzdys: „Java“ (A2 - autentifikavimas neveikia)
Kai tik įmanoma, įgyvendinkite kelių veiksnių autentifikavimą, kad išvengtumėte automatinio, įgaliojimų užpildymo, grubios jėgos ir pakartotinio užpuolimo prieš pavogtus kredencialus.
3 pavyzdys: „Android“ skirta „Java“ (M3 - nesaugus ryšys)
Būtina naudoti SSL / TLS transporto kanaluose, kuriuos naudoja mobilioji programa, kad perduotų neskelbtiną informaciją, seanso žetonus ar kitus neskelbtinus duomenis į backend API arba žiniatinklio paslaugą.
4 pavyzdys: „Kotlin“ (M4 - nesaugus autentifikavimas)
Venkite silpnų modelių
5 pavyzdys: „NodeJS“ (A5 - netinkama prieigos kontrolė)
Modelio prieigos valdikliai turėtų užtikrinti įrašų nuosavybės teises, o ne leisti vartotojui kurti, skaityti, atnaujinti ar ištrinti bet kokį įrašą.
6 pavyzdys: C tikslas (M6 - nesaugus įgaliojimas)
Programos turėtų vengti naudoti atspėjamus skaičius kaip identifikavimo nuorodą.
7 pavyzdys: PHP (A7 - kelių svetainių scenarijai)
Užkoduokite visus specialiuosius simbolius naudodami „htmlspecialchars“ () arba „htmlentities“ () [jei tai yra „HTML“ žymose].
8 pavyzdys: „Python“ (A8 - nesaugi deserializacija)
Marinuotų agurkų ir „jsonpickle“ modulis nėra saugus, niekada nenaudokite jo, kad deserializuotumėte nepatikimus duomenis.
9 pavyzdys: „Python“ (A9 - komponentų naudojimas su žinomomis pažeidžiamumais)
Paleiskite programą su mažiausiai privilegijuotu vartotoju
10 pavyzdys: „Swift“ (M10 - keista funkcija)
Pašalinkite paslėptos užpakalinės dalies funkciją ar kitas vidinės plėtros saugos valdiklius, kurių neketinama išleisti gamybos aplinkoje.
11 pavyzdys: „WordPress“ (išjungti XML-RPC)
XML-RPC yra „WordPress“ funkcija, leidžianti perduoti duomenis tarp „WordPress“ ir kitų sistemų. Šiandien ją iš esmės pakeitė REST API, tačiau ji vis dar įtraukta į diegimus, kad būtų užtikrintas atgalinis suderinamumas. Jei įgalinta programoje „WordPress“, užpuolikas gali atlikti grubios jėgos, „pingback“ (SSRF) atakas, be kita ko.
Išvada
Mes to tikimės "naudingas mažas įrašas" apie vadinamą svetainę «Secure Code Wiki», kuris siūlo vertingą turinį, susijusį su «Geros saugios kodavimo praktikos »; yra labai įdomus ir naudingas visam «Comunidad de Software Libre y Código Abierto» ir labai prisideda skleidžiant nuostabią, gigantišką ir vis didėjančią ESG ekosistemą «GNU/Linux».
Kol kas, jei jums tai patiko publicación, Nesustok pasidalink su kitais savo mėgstamose svetainėse, kanaluose, socialinių tinklų ar susirašinėjimo sistemų grupėse ar bendruomenėse, pageidautina nemokamai, atvirai ir (arba) saugiau, Telegrama, signalas, Mastadonas ar kitas iš Fediverse, pageidautina.
Nepamirškite apsilankyti mūsų pagrindiniame puslapyje «Nuo „Linux“» ištirti daugiau naujienų ir prisijungti prie mūsų oficialaus kanalo Telegrama iš „DesdeLinux“. Nors, norėdami gauti daugiau informacijos, galite apsilankyti bet kuriame Internetinė biblioteka kaip „OpenLibra“ y jeditas, prieiti ir skaityti skaitmenines knygas (PDF) šia ar kitomis temomis.
Komentaras, palikite savo
Įdomus straipsnis, jis turėtų būti privalomas kiekvienam kūrėjui.