Secure Code Wiki: Laman web amalan baik pengekodan selamat

Secure Code Wiki: Laman web amalan baik pengekodan selamat

Untuk kemajuan Pengetahuan dan Pendidikan, dan Sains dan teknologi Secara umum, pelaksanaan ini selalu sangat penting tindakan yang lebih baik dan berkesan, langkah atau cadangan (Amalan baik) untuk mencapai matlamat utama, membuahkan hasil sebarang aktiviti atau proses.

dan pengaturcaraan o el Pembangunan perisian Seperti aktiviti IT dan profesional lain, ia mempunyai aktiviti sendiri "Amalan baik" dikaitkan dengan banyak bidang, terutamanya yang berkaitan dengan Keselamatan siber produk perisian yang dihasilkan. Dan dalam catatan ini kami akan membentangkan beberapa «Amalan Pengekodan Selamat yang Baik », dari laman web yang menarik dan berguna yang dipanggil "Wiki Kod Selamat", banyak mengenai Platform Pembangunan percuma dan terbuka, seperti tertutup dan tertutup.

Lesen untuk pembangunan Perisian Percuma dan Terbuka: Amalan yang baik

Sebelum masuk ke subjek, seperti biasa, kami akan meninggalkan beberapa pautan ke penerbitan sebelumnya yang berkaitan dengan topik «Amalan Baik dalam Pengaturcaraan atau Pembangunan Perisian ».

"… Amalan baik yang disusun dan disebarkan oleh "Kod untuk Inisiatif Pembangunan" Bank Pembangunan Antara Amerika, mengenai skop Perisian Lesen, yang mesti diambil ketika mengembangkan produk perisian (alat digital), terutama bebas dan terbuka." Lesen untuk pembangunan Perisian Percuma dan Terbuka: Amalan yang baik

artikel berkaitan:

Lesen untuk pembangunan Perisian Percuma dan Terbuka: Amalan yang baik

artikel berkaitan:

Kualiti Teknikal: Amalan baik dalam pembangunan Perisian Percuma

artikel berkaitan:

Amalan baik untuk membangunkan Perisian bebas dan terbuka: Dokumentasi

Secure Code Wiki: Amalan Pengekodan Selamat yang Baik

Apa itu Secure Code Wiki?

Seperti yang dinyatakan oleh teksnya tapak:

"Secure Code Wiki adalah puncak amalan pengkodan selamat untuk pelbagai bahasa."

Dan anda amalan yang baik dan laman web "Wiki Kod Selamat" telah dibuat dan dikekalkan oleh organisasi India yang dipanggil Payatus.

Contoh Amalan Baik mengikut jenis Bahasa Pengaturcaraan

Oleh kerana, laman web dalam bahasa Inggeris, kami akan menunjukkan beberapa contoh pengekodan selamat mengenai pelbagai bahasa pengaturcaraan, beberapa percuma dan terbuka, dan yang lain peribadi dan tertutup, yang ditawarkan oleh laman web tersebut untuk meneroka potensi dan kualiti kandungan dimuatkan.

Di samping itu, penting untuk mengetengahkan perkara itu Amalan yang baik dipaparkan di Platform Pembangunan berikut:

• . NET
• Java
• Java Untuk Android
• Kotlin
• NodeJS
• Objektif C
• PHP
• Python
• Ruby
• Swift
• WordPress

Mereka dibahagikan kepada kategori berikut untuk Bahasa Desktop:

• A1 - Suntikan (Suntikan)
• A2 - Pengesahan rosak (Pengesahan Pecah)
• A3 - Pendedahan data sensitif (Pendedahan Data Sensitif)
• A4 - Entiti Luaran XML (XML Entiti Luaran / XXE)
• A5 - Kawalan akses yang salah (Kawalan Akses Rosak)
• A6 - Konfigurasi keselamatan (Kesalahan Konfigurasi Keselamatan)
• A7 - Penulisan Skrip Lintas Tapak (Skrip Merentas Tapak / XSS)
• A8 - Deserialisasi tidak selamat (Deserialisasi Tidak Selamat)
• A9 - Penggunaan komponen dengan kelemahan yang diketahui (Menggunakan Komponen dengan Kerentanan yang Diketahui)
• A10 - Pendaftaran dan pengawasan tidak mencukupi (Pembalakan & Pemantauan Tidak mencukupi)

Dan juga dibahagikan kepada kategori berikut untuk Bahasa Mudah Alih:

• M1 - Penggunaan platform yang tidak betul (Penggunaan Platform yang Tidak Betul)
• M2 - Penyimpanan data tidak selamat (Penyimpanan Data Tidak Selamat)
• M3 - Komunikasi tidak selamat (Komunikasi Tidak Selamat)
• M4 - Pengesahan tidak selamat (Pengesahan Tidak Selamat)
• M5 - Kriptografi tidak mencukupi (Kriptografi Tidak mencukupi)
• M6 - Kebenaran tidak selamat (Kebenaran Tidak Selamat)
• M7 - Kualiti kod pelanggan (Kualiti Kod Pelanggan)
• M8 - Manipulasi kod (Penjejakan Kod)
• M9 - Kejuruteraan Berbalik (Kejuruteraan Terbalik)
• M10 - Fungsi pelik (Fungsi Luar Biasa)

Contoh 1: .Net (A1- Suntikan)

Menggunakan pemeta relasional objek (ORM) atau prosedur tersimpan adalah kaedah paling berkesan untuk mengatasi kerentanan suntikan SQL.

Contoh 2: Java (A2 - Autentikasi rosak)

Sekiranya boleh, laksanakan pengesahan berbilang faktor untuk mengelakkan pemadanan automatik, kelayakan, kekerasan, dan penggunaan semula serangan terhadap bukti yang dicuri.

Contoh 3: Java Untuk Android (M3 - Komunikasi Tidak Selamat)

Adalah mustahak untuk menerapkan SSL / TLS ke saluran pengangkutan yang digunakan oleh aplikasi mudah alih untuk menghantar maklumat sensitif, token sesi atau data sensitif lain ke API backend atau perkhidmatan web.

Contoh 4: Kotlin (M4 - Pengesahan Tidak Selamat)

Elakkan corak yang lemah

Contoh 5: NodeJS (A5 - Kawalan Akses Buruk)

Kawalan akses model harus menegakkan pemilikan rekod, dan bukannya membenarkan pengguna membuat, membaca, mengemas kini, atau menghapus sebarang rekod.

Contoh 6: Objektif C (M6 - Kebenaran tidak selamat)

Aplikasi tidak boleh menggunakan nombor yang dapat ditebak sebagai rujukan pengenalpastian.

Contoh 7: PHP (A7 - Skrip Lintas Tapak)

Encode semua watak khas menggunakan htmlspecialchars () atau htmlentities () [jika terdapat dalam tag html].

Contoh 8: Python (A8 - Deserialization Tidak Selamat)

Modul pickle dan jsonpickle tidak selamat, jangan sekali-kali menggunakannya untuk memusnahkan data yang tidak dipercayai.

Contoh 9: Python (A9 - Menggunakan Komponen dengan Kerentanan yang Diketahui)

Jalankan aplikasi dengan pengguna yang paling kurang istimewa

Contoh 10: Swift (M10 - Fungsi pelik)

Keluarkan fungsi pintu belakang tersembunyi atau kawalan keselamatan pembangunan dalaman lain yang tidak dimaksudkan untuk dilepaskan dalam persekitaran pengeluaran.

Contoh 11: WordPress (XML-RPC Disable)

XML-RPC adalah ciri WordPress yang membolehkan pemindahan data antara WordPress dan sistem lain. Hari ini sebahagian besarnya digantikan oleh REST API, tetapi ia masih termasuk dalam pemasangan untuk keserasian kebelakang. Sekiranya diaktifkan di WordPress, penyerang dapat melakukan serangan brute force, pingback (SSRF), antara lain.

Kesimpulan

Kami harap ini "jawatan kecil yang berguna" mengenai laman web yang dipanggil «Secure Code Wiki», yang menawarkan kandungan berharga yang berkaitan dengan «Amalan Pengekodan Selamat yang Baik »; sangat menarik dan bermanfaat, untuk keseluruhannya «Comunidad de Software Libre y Código Abierto» dan memberi sumbangan besar kepada penyebaran ekosistem aplikasi yang hebat, raksasa dan berkembang «GNU/Linux».

Buat masa ini, jika anda menyukai ini publicación, Jangan berhenti kongsi dengan orang lain, di laman web, saluran, kumpulan atau komuniti rangkaian sosial atau sistem pesanan kegemaran anda, lebih baik percuma, terbuka dan / atau lebih selamat seperti Telegram, Isyarat, Mastodon atau yang lain dari Fediverse, lebih baik.

Dan ingat untuk mengunjungi laman utama kami di «DesdeLinux» untuk meneroka lebih banyak berita, serta menyertai saluran rasmi kami Telegram daripada DesdeLinux. Walaupun, untuk maklumat lebih lanjut, anda boleh mengunjungi mana-mana Perpustakaan dalam talian sebagai OpenLibra y jedit, untuk mengakses dan membaca buku digital (PDF) mengenai topik ini atau yang lain.