Par virzību uz Zināšanas un izglītība, un Zinātne un tehnoloģijas Kopumā vienmēr ir bijusi ārkārtīgi svarīga programmas īstenošana labākas un efektīvākas darbības, pasākumi vai ieteikumi (Labā prakse) lai sasniegtu galveno mērķi, piepildīt jebkura darbība vai process.
Un programmēšana vai Programmatūras izstrāde Tāpat kā jebkura cita IT un profesionālā darbība, tā ir sava "Labā prakse" saistīts ar daudzām sfērām, īpaši tām, kas saistītas ar Kiberdrošība no saražotajiem programmatūras produktiem. Un šajā ierakstā mēs iepazīstināsim ar dažiem «Laba droša kodēšanas prakse », no interesantas un noderīgas vietnes ar nosaukumu "Secure Code Wiki", tik daudz par Attīstības platformas brīva un atvērta, kā privāta un slēgta.
Pirms iekļaušanās priekšmetā, kā parasti, mēs vēlāk atstāsim dažas saites uz iepriekšējām publikācijām, kas saistītas ar tēmu «Laba prakse programmēšanā vai programmatūras izstrādē ».
"… Labā prakse, ko izstrādājusi un izplatījusi "Attīstības iniciatīvas kods" Amerikas Attīstības bankas ziņojums par darbības jomu Licences programmatūra, kas jāņem vērā, izstrādājot programmatūras produktus (digitālos rīkus), īpaši brīvus un atvērtus." Licences brīvas un atvērtas programmatūras izstrādei: laba prakse
Secure Code Wiki: laba droša kodēšanas prakse
Kas ir drošā koda Wiki?
Kā teikts tā tekstā vietā:
"Secure Code Wiki ir drošas kodēšanas prakses kulminācija visdažādākajām valodām."
Un jūs esat labas prakses un tīmekļa vietne "Secure Code Wiki" ir izveidojusi un uztur Indijas organizācija ar nosaukumu Payatus.
Labās prakses piemēri pēc programmēšanas valodu veidiem
Tā kā vietne ir angļu valodā, mēs dažus parādīsim drošas kodēšanas piemēri par dažādiem programmēšanas valodas, daži bezmaksas un atvērti, bet citi privāti un slēgti, ko piedāvā minētā vietne izpētīt satura potenciālu un kvalitāti ielādēts.
Turklāt ir svarīgi to izcelt Labā prakse parādīts uz Attīstības platformas sekojošs:
- NET.
- Java
- Java Android ierīcēm
- Kotlin
- NodeJS
- Mērķis C
- PHP
- Pitons
- rubīns
- Swift kods
- WordPress
Tās ir sadalītas šādās darbvirsmas valodu kategorijās:
- A1 - iesmidzināšana (Injekcija)
- A2 - autentifikācija ir bojāta (Salauzta autentifikācija)
- A3 - slepenu datu ekspozīcija (Sensitīva datu iedarbība)
- A4 - XML ārējās entītijas (XML ārējās vienības / XXE)
- A5 - nepareiza piekļuves kontrole (Salauzta piekļuves kontrole)
- A6 - drošības dekonfigurācija (Drošības nepareiza konfigurēšana)
- A7 - starpvietņu skriptu izveide (Starpvietu skriptu izveide / XSS)
- A8 - nedroša deserializācija (Nedroša deserializācija)
- A9 - Komponentu ar zināmu ievainojamību izmantošana (Izmantojot komponentus ar zināmām ievainojamībām)
- A10 - nepietiekama reģistrācija un uzraudzība (Nepietiekama reģistrēšana un uzraudzība)
Turklāt mobilajām valodām tās ir iedalītas šādās kategorijās:
- M1 - nepareiza platformas izmantošana (Nepareiza platformas izmantošana)
- M2 - nedroša datu glabāšana (Nedroša datu glabāšana)
- M3 - nedroša komunikācija (Nedroša komunikācija)
- M4 - nedroša autentifikācija (Nedroša autentifikācija)
- M5 - nepietiekama kriptogrāfija (Nepietiekama kriptogrāfija)
- M6 - nedroša autorizācija (Nedroša autorizācija)
- M7 - klienta koda kvalitāte (Klienta koda kvalitāte)
- M8 - manipulēšana ar kodu (Kodu sagrozīšana)
- M9 - reversā inženierija (Reversā inženierija)
- M10 - dīvaina funkcionalitāte (Sveša funkcionalitāte)
1. piemērs: .Net (A1 - iesmidzināšana)
Objekta relāciju kartētāja (ORM) vai glabāto procedūru izmantošana ir visefektīvākais veids, kā novērst SQL injekcijas ievainojamību.
2. piemērs: Java (A2 - autentifikācija ir bojāta)
Kad vien iespējams, īstenojiet daudzfaktoru autentifikāciju, lai novērstu automatizētu, akreditācijas datu aizpildīšanu, rupju spēku un atkārtotu uzbrukumu nozagtiem akreditācijas datiem.
3. piemērs: Java operētājsistēmai Android (M3 - nedroša komunikācija)
Ir obligāti jāpiemēro SSL / TLS transporta kanāliem, kurus mobilā lietojumprogramma izmanto, lai pārsūtītu sensitīvu informāciju, sesijas marķierus vai citus sensitīvus datus uz aizmugures API vai tīmekļa pakalpojumu.
4. piemērs: Kotlin (M4 - nedroša autentifikācija)
Izvairieties no vājiem modeļiem
5. piemērs: NodeJS (A5 - slikta piekļuves kontrole)
Modeļa piekļuves kontrolei jāpiespiež ierakstu īpašumtiesības, nevis jāļauj lietotājam izveidot, lasīt, atjaunināt vai izdzēst jebkuru ierakstu.
6. piemērs: C mērķis (M6 - nedroša autorizācija)
Lietojumprogrammām nevajadzētu izmantot uzminamus skaitļus kā identifikācijas atsauci.
7. piemērs: PHP (A7 - vairāku vietņu skripti)
Kodējiet visas īpašās rakstzīmes, izmantojot htmlspecialchars () vai htmlentities () [ja tas ir html tagos].
8. piemērs: Python (A8 - nedroša deserializācija)
Marinādes un jsonpickle modulis nav drošs, nekad to neizmantojiet, lai deserializētu neuzticamus datus.
9. piemērs: Python (A9 - komponentu izmantošana ar zināmām ievainojamībām)
Palaidiet lietojumprogrammu ar vismazāk priviliģēto lietotāju
10. piemērs: Swift (M10 - dīvaina funkcionalitāte)
Noņemiet slēptās aizmugurējās durvis vai citas iekšējās izstrādes drošības vadīklas, kuras nav paredzēts izlaist ražošanas vidē.
11. piemērs: WordPress (atspējot XML-RPC)
XML-RPC ir WordPress funkcija, kas ļauj pārsūtīt datus starp WordPress un citām sistēmām. Šodien to lielā mērā aizstāj REST API, taču tas joprojām ir iekļauts instalācijās, lai nodrošinātu savietojamību atpakaļ. Ja tas ir iespējots programmā WordPress, uzbrucējs, cita starpā, var veikt brutālu spēku, pingback (SSRF) uzbrukumus.
Secinājums
Mēs to ceram "noderīga maz ziņa" par vietni, ko sauc «Secure Code Wiki»
, kas piedāvā vērtīgu saturu, kas saistīts ar «Laba droša kodēšanas prakse »; ir liela interese un lietderība kopumā «Comunidad de Software Libre y Código Abierto»
un liels ieguldījums brīnišķīgās, gigantiskās un augošās EOS ekosistēmas izplatībā «GNU/Linux»
.
Pagaidām, ja jums tas patika publicación
, Neapstājies padalies ar to kopā ar citiem jūsu iecienītākajās vietnēs, kanālos, sociālo tīklu vai ziņojumapmaiņas sistēmu grupās vai kopienās, vēlams bez maksas, atvērtā un / vai drošākā veidā Telegram, Signalizēt, Mastodonts vai cita no Fediverse, vēlams.
Un atcerieties apmeklēt mūsu mājas lapu vietnē «DesdeLinux» izpētīt vairāk jaunumu, kā arī pievienoties mūsu oficiālajam kanālam Telegramma no DesdeLinux. Lai gan, lai iegūtu vairāk informācijas, jūs varat apmeklēt jebkuru Tiešsaistes bibliotēka kā OpenLibra y jedit, lai piekļūtu un lasītu digitālās grāmatas (PDF) par šo vai citām tēmām.
Interesants raksts, tam jābūt obligātam katram izstrādātājam.