Secure Code Wiki: drošas kodēšanas paraugprakses tīmeklis

Secure Code Wiki: drošas kodēšanas paraugprakses tīmeklis

Secure Code Wiki: drošas kodēšanas paraugprakses tīmeklis

Par virzību uz Zināšanas un izglītība, Un Zinātne un tehnoloģijas Kopumā vienmēr ir bijusi ārkārtīgi svarīga programmas īstenošana labākas un efektīvākas darbības, pasākumi vai ieteikumi (Labā prakse) lai sasniegtu galveno mērķi, piepildīt jebkura darbība vai process.

Un programmēšana vai Programmatūras izstrāde Tāpat kā jebkura cita IT un profesionālā darbība, tā ir sava "Labā prakse" saistīts ar daudzām sfērām, īpaši tām, kas saistītas ar Kiberdrošība no saražotajiem programmatūras produktiem. Un šajā ierakstā mēs iepazīstināsim ar dažiem «Laba droša kodēšanas prakse », no interesantas un noderīgas vietnes ar nosaukumu "Secure Code Wiki", tik daudz par Attīstības platformas brīva un atvērta, kā privāta un slēgta.

Licences brīvas un atvērtas programmatūras izstrādei: laba prakse

Licences brīvas un atvērtas programmatūras izstrādei: laba prakse

Pirms iekļaušanās priekšmetā, kā parasti, mēs vēlāk atstāsim dažas saites uz iepriekšējām publikācijām, kas saistītas ar tēmu «Laba prakse programmēšanā vai programmatūras izstrādē ».

"… Labā prakse, ko izstrādājusi un izplatījusi "Attīstības iniciatīvas kods" Amerikas Attīstības bankas ziņojums par darbības jomu Licences programmatūra, kas jāņem vērā, izstrādājot programmatūras produktus (digitālos rīkus), īpaši brīvus un atvērtus." Licences brīvas un atvērtas programmatūras izstrādei: laba prakse

saistīto rakstu:
Licences brīvas un atvērtas programmatūras izstrādei: laba prakse

saistīto rakstu:
Tehniskā kvalitāte: laba prakse bezmaksas programmatūras izstrādē
saistīto rakstu:
Labas prakses bezmaksas un atvērtas programmatūras izstrādei: dokumentācija

Secure Code Wiki: laba droša kodēšanas prakse

Secure Code Wiki: laba droša kodēšanas prakse

Kas ir drošā koda Wiki?

Kā teikts tā tekstā vietā:

"Secure Code Wiki ir drošas kodēšanas prakses kulminācija visdažādākajām valodām."

Un jūs esat labas prakses un tīmekļa vietne "Secure Code Wiki" ir izveidojusi un uztur Indijas organizācija ar nosaukumu Payatu.

Labās prakses piemēri pēc programmēšanas valodu veidiem

Tā kā vietne ir angļu valodā, mēs dažus parādīsim drošas kodēšanas piemēri par dažādiem programmēšanas valodas, daži bezmaksas un atvērti, bet citi privāti un slēgti, ko piedāvā minētā vietne izpētīt satura potenciālu un kvalitāti ielādēts.

Turklāt ir svarīgi to izcelt Labā prakse parādīts uz Attīstības platformas sekojošs:

  • NET.
  • Java
  • Java Android ierīcēm
  • Kotlin
  • NodeJS
  • Mērķis C
  • PHP
  • Pitons
  • rubīns
  • Swift
  • WordPress

Tās ir sadalītas šādās darbvirsmas valodu kategorijās:

  • A1 - iesmidzināšana (Injekcija)
  • A2 - autentifikācija ir bojāta (Salauzta autentifikācija)
  • A3 - slepenu datu ekspozīcija (Sensitīva datu iedarbība)
  • A4 - XML ​​ārējās entītijas (XML ārējās vienības / XXE)
  • A5 - nepareiza piekļuves kontrole (Salauzta piekļuves kontrole)
  • A6 - drošības dekonfigurācija (Drošības nepareiza konfigurēšana)
  • A7 - starpvietņu skriptu izveide (Starpvietu skriptu izveide / XSS)
  • A8 - nedroša deserializācija (Nedroša deserializācija)
  • A9 - Komponentu ar zināmu ievainojamību izmantošana (Izmantojot komponentus ar zināmām ievainojamībām)
  • A10 - nepietiekama reģistrācija un uzraudzība (Nepietiekama reģistrēšana un uzraudzība)

Turklāt mobilajām valodām tās ir iedalītas šādās kategorijās:

  • M1 - nepareiza platformas izmantošana (Nepareiza platformas izmantošana)
  • M2 - nedroša datu glabāšana (Nedroša datu glabāšana)
  • M3 - nedroša komunikācija (Nedroša komunikācija)
  • M4 - nedroša autentifikācija (Nedroša autentifikācija)
  • M5 - nepietiekama kriptogrāfija (Nepietiekama kriptogrāfija)
  • M6 - nedroša autorizācija (Nedroša autorizācija)
  • M7 - klienta koda kvalitāte (Klienta koda kvalitāte)
  • M8 - manipulēšana ar kodu (Kodu sagrozīšana)
  • M9 - reversā inženierija (Reversā inženierija)
  • M10 - dīvaina funkcionalitāte (Sveša funkcionalitāte)

1. piemērs: .Net (A1 - iesmidzināšana)

Objekta relāciju kartētāja (ORM) vai glabāto procedūru izmantošana ir visefektīvākais veids, kā novērst SQL injekcijas ievainojamību.

2. piemērs: Java (A2 - autentifikācija ir bojāta)

Kad vien iespējams, īstenojiet daudzfaktoru autentifikāciju, lai novērstu automatizētu, akreditācijas datu aizpildīšanu, rupju spēku un atkārtotu uzbrukumu nozagtiem akreditācijas datiem.

3. piemērs: Java operētājsistēmai Android (M3 - nedroša komunikācija)

Ir obligāti jāpiemēro SSL / TLS transporta kanāliem, kurus mobilā lietojumprogramma izmanto, lai pārsūtītu sensitīvu informāciju, sesijas marķierus vai citus sensitīvus datus uz aizmugures API vai tīmekļa pakalpojumu.

4. piemērs: Kotlin (M4 - nedroša autentifikācija)

Izvairieties no vājiem modeļiem

5. piemērs: NodeJS (A5 - slikta piekļuves kontrole)

Modeļa piekļuves kontrolei jāpiespiež ierakstu īpašumtiesības, nevis jāļauj lietotājam izveidot, lasīt, atjaunināt vai izdzēst jebkuru ierakstu.

6. piemērs: C mērķis (M6 - nedroša autorizācija)

Lietojumprogrammām nevajadzētu izmantot uzminamus skaitļus kā identifikācijas atsauci.

7. piemērs: PHP (A7 - vairāku vietņu skripti)

Kodējiet visas īpašās rakstzīmes, izmantojot htmlspecialchars () vai htmlentities () [ja tas ir html tagos].

8. piemērs: Python (A8 - nedroša deserializācija)

Marinādes un jsonpickle modulis nav drošs, nekad to neizmantojiet, lai deserializētu neuzticamus datus.

9. piemērs: Python (A9 - komponentu izmantošana ar zināmām ievainojamībām)

Palaidiet lietojumprogrammu ar vismazāk priviliģēto lietotāju

10. piemērs: Swift (M10 - dīvaina funkcionalitāte)

Noņemiet slēptās aizmugurējās durvis vai citas iekšējās izstrādes drošības vadīklas, kuras nav paredzēts izlaist ražošanas vidē.

11. piemērs: WordPress (atspējot XML-RPC)

XML-RPC ir WordPress funkcija, kas ļauj pārsūtīt datus starp WordPress un citām sistēmām. Šodien to lielā mērā aizstāj REST API, taču tas joprojām ir iekļauts instalācijās, lai nodrošinātu savietojamību atpakaļ. Ja tas ir iespējots programmā WordPress, uzbrucējs, cita starpā, var veikt brutālu spēku, pingback (SSRF) uzbrukumus.

Vispārējs attēls raksta secinājumiem

Secinājums

Mēs to ceram "noderīga maz ziņa" par vietni, ko sauc «Secure Code Wiki», kas piedāvā vērtīgu saturu, kas saistīts ar «Laba droša kodēšanas prakse »; ir liela interese un lietderība kopumā «Comunidad de Software Libre y Código Abierto» un liels ieguldījums brīnišķīgās, gigantiskās un augošās EOS ekosistēmas izplatībā «GNU/Linux».

Pagaidām, ja jums tas patika publicación, Neapstājies padalies ar to kopā ar citiem jūsu iecienītākajās vietnēs, kanālos, sociālo tīklu vai ziņojumapmaiņas sistēmu grupās vai kopienās, vēlams bez maksas, atvērtā un / vai drošākā veidā TelegrammaSignalizētMastodonts vai cita no Fediverse, vēlams.

Un atcerieties apmeklēt mūsu mājas lapu vietnē «FromLinux» izpētīt vairāk jaunumu, kā arī pievienoties mūsu oficiālajam kanālam Telegramma no DesdeLinuxLai gan, lai iegūtu vairāk informācijas, jūs varat apmeklēt jebkuru Tiešsaistes bibliotēka kā OpenLibra y JedIT, lai piekļūtu un lasītu digitālās grāmatas (PDF) par šo vai citām tēmām.


Raksta saturs atbilst mūsu principiem redakcijas ētika. Lai ziņotu par kļūdu, noklikšķiniet uz šeit.

Komentārs, atstāj savu

Atstājiet savu komentāru

Jūsu e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti ar *

*

*

  1. Atbildīgais par datiem: Migels Ángels Gatóns
  2. Datu mērķis: SPAM kontrole, komentāru pārvaldība.
  3. Legitimācija: jūsu piekrišana
  4. Datu paziņošana: Dati netiks paziņoti trešām personām, izņemot juridiskus pienākumus.
  5. Datu glabāšana: datu bāze, ko mitina Occentus Networks (ES)
  6. Tiesības: jebkurā laikā varat ierobežot, atjaunot un dzēst savu informāciju.

  1.   Luix teica

    Interesants raksts, tam jābūt obligātam katram izstrādātājam.