လုံခြုံသောကုဒ်ဝီကီ - လုံခြုံသော coding ကောင်းသောအလေ့အကျင့်များရှိသည့်ဝဘ်ဆိုက်

လုံခြုံသောကုဒ်ဝီကီ - လုံခြုံသော coding ကောင်းသောအလေ့အကျင့်များရှိသည့်ဝဘ်ဆိုက်

လုံခြုံသောကုဒ်ဝီကီ - လုံခြုံသော coding ကောင်းသောအလေ့အကျင့်များရှိသည့်ဝဘ်ဆိုက်

၏တိုးသည် အသိပညာနှင့်ပညာရေး, အ သိပ္ပံနှင့်နည်းပညာ ယေဘုယျအားဖြင့်၎င်းသည်အကောင်အထည်ဖော်မှုအတွက်အမြဲတမ်းအရေးအပါဆုံးဖြစ်ခဲ့သည် ပိုကောင်းနှင့်ပိုမိုထိရောက်သောလုပ်ရပ်များ, အစီအမံသို့မဟုတ်အကြံပြုချက်များ (ကောင်းသောအလေ့အကျင့်များ) အန္တိမရည်မှန်းချက်အောင်မြင်ရန် အကျိုးခံစားရရှိရေးကိုဆောင်ခဲ့ရမည် မည်သည့်လှုပ်ရှားမှုသို့မဟုတ်ဖြစ်စဉ်ကို။

ထိုအခါ ပရိုဂရမ်းမင်း သို့မဟုတ် software ဖွံ့ဖြိုးတိုးတက်မှု အခြားမည်သည့်ပရော်ဖက်ရှင်နယ်နှင့်အိုင်တီလှုပ်ရှားမှုကဲ့သို့ပင်၎င်း၏ကိုယ်ပိုင်ရှိသည် "ကောင်းသောအလေ့အကျင့်" အများအပြားနယ်ပယ်, အထူးသဖြင့်ဆက်စပ်သောသူတို့အားနှင့်ဆက်စပ် ဆိုင်ဘာလုံခြုံရေး ထုတ်လုပ် software ကိုထုတ်ကုန်၏။ နှင့်ဤ post ကိုကျွန်တော်အချို့တင်ပြပါလိမ့်မယ် «ကောင်းမွန်သောလုံလုံခြုံခြုံကုဒ်အလေ့အကျင့်များ»ခေါ်စိတ်ဝင်စားစရာကောင်းပြီးအသုံးဝင်သောဝက်ဘ်ဆိုက်မှ "လုံခြုံသောကုဒ်ဝီကီ"အကြောင်းအများကြီး ဖွံ့ဖြိုးရေးပလက်ဖောင်းများ ပုဂ္ဂလိကနှင့်တံခါးပိတ်အဖြစ်အခမဲ့နှင့်ပွင့်လင်း။

အခမဲ့နှင့်ပွင့်လင်းသောဆော့ဝဲလ်ဖွံ့ဖြိုးတိုးတက်မှုအတွက်လိုင်စင်များ - အလေ့အကျင့်ကောင်းများ

အခမဲ့နှင့်ပွင့်လင်းသောဆော့ဝဲလ်ဖွံ့ဖြိုးတိုးတက်မှုအတွက်လိုင်စင်များ - အလေ့အကျင့်ကောင်းများ

အကြောင်းအရာသို့မ ၀ င်မီ၊ ထုံးစံအတိုင်းကျွန်ုပ်တို့သည်နောက်လာမည့်အကြောင်းအရာနှင့်သက်ဆိုင်သောယခင်စာပေများနှင့်လင့်ခ်များကိုချန်ထားလိမ့်မည် «ပရိုဂရမ်သို့မဟုတ်ဆော့ဝဲလ်ဖွံ့ဖြိုးတိုးတက်ခြင်းအတွက်အလေ့အကျင့်ကောင်းများ».

"... ကောင်းမွန်သောအလေ့အကျင့်များကပceivedိသန္ဓေယူ။ ဖြန့်ဝေ "ဖွံ့ဖြိုးရေး Initiative များအတွက် Code ကို" အမေရိကန်ဖွံ့ဖြိုးတိုးတက်ရေးဘဏ်၏အတိုင်းအတာအပေါ် လိုင်စင်ဆော့ဝဲဆော့ဗ်ဝဲထုတ်ကုန်များ (ဒစ်ဂျစ်တယ်ကိရိယာများ) ကိုတီထွင်သောအခါအထူးသဖြင့်အခမဲ့နှင့်ပွင့်လင်းမြင်သာမှုရှိသင့်သည်။" အခမဲ့နှင့်ပွင့်လင်းသောဆော့ဝဲလ်ဖွံ့ဖြိုးတိုးတက်မှုအတွက်လိုင်စင်များ - အလေ့အကျင့်ကောင်းများ

ဆက်စပ်ဆောင်းပါး
အခမဲ့နှင့်ပွင့်လင်းသောဆော့ဝဲလ်ဖွံ့ဖြိုးတိုးတက်မှုအတွက်လိုင်စင်များ - အလေ့အကျင့်ကောင်းများ

ဆက်စပ်ဆောင်းပါး
နည်းပညာအရည်အသွေး - အခမဲ့ဆော့ဗ်ဝဲဖွံ့ဖြိုးတိုးတက်ရေးအတွက်ကောင်းမွန်သောအလေ့အကျင့်များ
ဆက်စပ်ဆောင်းပါး
အခမဲ့နှင့်ပွင့်လင်း Software များဖွံ့ဖြိုးတိုးတက်ဖို့ကောင်းသောအလေ့အကျင့် - မှတ်တမ်းတင်ခြင်း

Secure Code ဝီကီ - ကောင်းမွန်သောလုံခြုံသောကုဒ်နံပါတ်လေ့ကျင့်ခြင်း

အညွှန်းကိန်း

Secure Code ဝီကီ - ကောင်းမွန်သောလုံခြုံသောကုဒ်နံပါတ်လေ့ကျင့်ခြင်း

Secure Code Wiki ဆိုတာဘာလဲ။

၎င်း၏စာသားကပြောပါတယ်အဖြစ် က်ဘ်ဆိုက်:

"Secure Code ဝီကီသည်ဘာသာစကားအမျိုးမျိုးအတွက်လုံခြုံသော coding လုပ်ထုံးလုပ်နည်းများ၏နိဂုံးဖြစ်သည်။"

ပြီးတော့မင်းက ကောင်းသောအလေ့အကျင့် နှင့်၏ဝက်ဘ်ဆိုက် "လုံခြုံသောကုဒ်ဝီကီ" ခေါ်အိန္ဒိယအဖွဲ့အစည်းကဖန်တီးနှင့်ထိန်းသိမ်းထားခဲ့ကြသည် Payatu.

ပရိုဂရမ်ဘာသာစကားများအလိုက်အလေ့အကျင့်ကောင်းဥပမာများ

ဝက်ဘ်ဆိုက်သည်အင်္ဂလိပ်ဘာသာဖြင့်ဖြစ်သောကြောင့်ကျွန်ုပ်တို့အချို့ကိုပြသပါလိမ့်မည် လုံခြုံတဲ့ coding ဥပမာများ အမျိုးမျိုးသောအကြောင်း programming ဘာသာစကားများအချို့သောအခမဲ့နှင့်ပွင့်လင်းမှုနှင့်အချို့သည်ပုဂ္ဂလိကပိုင်နှင့်ပိတ်ထားသည်ဆိုသော ၀ ဘ်ဆိုဒ်ကကမ်းလှမ်းသည် အကြောင်းအရာ၏အလားအလာနှင့်အရည်အသွေးစူးစမ်း တင်။

ထို့အပြင်၎င်းကိုမီးမောင်းထိုးပြရန်အရေးကြီးသည် ကောင်းသောအလေ့အကျင့် အပေါ်ပြသ ဖွံ့ဖြိုးရေးပလက်ဖောင်းများ အောက်ပါ:

  • .NET
  • ဂျာဗား
  • Android အတွက် Java
  • Kotlin
  • NodeJS
  • ရည်ရွယ်ချက် C
  • PHP ကို
  • Python ကို
  • ပတ္တမြား
  • ဆွစ်ဖ်
  • WordPress

၎င်းတို့ကို Desktop ဘာသာစကားများအတွက်အမျိုးအစားခွဲထားသည်။

  • A1 - ဆေးထိုး (ဆေးထိုး)
  • A2 - authentication ကျိုးပဲ့နေတယ် (ကွဲလွဲကြောင်းအတည်ပြုခြင်း)
  • A3 - အထိခိုက်မခံတဲ့အချက်အလက်များ၏ထိတွေ့မှု (ထိလွယ်ရှလွယ်ဒေတာထိတွေ့မှု)
  • A4 - XML ​​ပြင်ပအဖွဲ့အစည်းများ (XML ပြင်ပအဖွဲ့အစည်းများ / XXE)
  • A5 - မှားယွင်းစွာဝင်ရောက်ထိန်းချုပ်မှု (ကွဲလွယ်သော Access Control)
  • A6 - လုံခြုံရေးအသွင်ပြောင်းခြင်း (လုံခြုံရေးအမှားပြင်ဆင်ခြင်း)
  • အေ7 - Cross Site Scripting (Cross-Site Scripting / XSS)
  • A8 - မလုံခြုံသောသဲကန္တာရဖြစ်ခြင်း (မလုံခြုံသောသဲကန္တာရဖြစ်ခြင်း)
  • A9 - အားနည်းချက်ရှိသောအစိတ်အပိုင်းများကိုအသုံးပြုခြင်း (လူသိများသောအားနည်းချက်များနှင့်အတူအစိတ်အပိုင်းများကိုအသုံးပြုခြင်း)
  • A10 - မှတ်ပုံတင်ခြင်းနှင့်ကြီးကြပ်မှုမလုံလောက်ခြင်း (လုံလောက်သောသစ်ထုတ်လုပ်ခြင်းနှင့်စောင့်ကြည့်လေ့လာခြင်း)

ထို့အပြင်အောက်ပါအမျိုးအစားများကိုလက်ကိုင်ဖုန်းများနဲ့ခွဲခြားနိုင်သည် -

  • M1 - ပလက်ဖောင်းကိုမသင့်တော်သောအသုံးပြုမှု (မသင့်လျော်သောပလက်ဖောင်းအသုံးပြုမှု)
  • M2 - မလုံခြုံသောဒေတာသိမ်းဆည်းခြင်း (မလုံခြုံသည့်ဒေတာသိမ်းဆည်းခြင်း)
  • M3 - လုံခြုံမှုမရှိတဲ့ဆက်သွယ်ရေး (မလုံခြုံသောဆက်သွယ်ရေး)
  • M4 - လုံခြုံမှုမရှိတဲ့စစ်မှန်ကြောင်းအတည်ပြုခြင်း (မလုံခြုံသောစစ်မှန်ကြောင်းအတည်ပြုခြင်း)
  • M5 - လုံလောက်မှုမရှိသည့်စာဝှက်ရေးနည်း (မလုံလောက်သောစာလုံးပေါင်း)
  • M6 - မလုံခြုံသောခွင့်ပြုချက် (မလုံခြုံသောခွင့်ပြုချက်)
  • M7 - သုံးစွဲသူကုဒ်အရည်အသွေး (လိုင်းနံပါတ်အရည်အသွေး)
  • M8 - ကုဒ်ခြယ်လှယ်မှု (Code ကိုလက်စားချေခြင်း)
  • M9 - Reverse Engineering (ပြောင်းပြန်အင်ဂျင်နီယာ)
  • M10 - ထူးဆန်းသောလုပ်ဆောင်နိုင်စွမ်း (ပြင်ပမှလုပ်ဆောင်နိုင်မှု)

ဥပမာ ၁ - .Net (A1- Injection)

အရာဝတ္ထု relational mapper (ORM) သို့မဟုတ်သိုလှောင်ထားသောလုပ်ထုံးလုပ်နည်းများကိုအသုံးပြုခြင်းသည် SQL injection အားနည်းချက်ကိုကျော်လွှားရန်အထိရောက်ဆုံးနည်းလမ်းဖြစ်သည်။

ဥပမာ ၂ - Java (A2 - စစ်မှန်ကြောင်းအတည်ပြုခြင်းပျက်ခြင်း)

ဖြစ်နိုင်ပါကအလိုအလျောက်၊ ယုံကြည်စိတ်ချရသောပစ္စည်းပစ္စည်များ၊ brute force နှင့်အခိုးခံရသည့်အထောက်အထားများကိုပြန်လည်အသုံးပြုခြင်းမှကာကွယ်ရန်အချက်များပေါင်းစုံပါဝင်သော authentication ကိုအကောင်အထည်ဖော်ပါ။

ဥပမာ ၃ - Android အတွက် Java (M3 - မလုံခြုံသောဆက်သွယ်ရေး)

SSL / TLS ကိုမိုဘိုင်းအပလီကေးရှင်းမှအထိခိုက်မခံသောသတင်းအချက်အလက်၊ session တိုကင်များသို့မဟုတ်အခြားအထိခိုက်မခံသောဒေတာများကို backend API သို့မဟုတ်ဝက်ဘ်ဝန်ဆောင်မှုသို့ပို့ဆောင်ရန်အသုံးပြုသည့်သယ်ယူပို့ဆောင်ရေးလမ်းကြောင်းများသို့ SSL / TLS ကိုအသုံးပြုရန်အလွန်အရေးကြီးသည်။

ဥပမာ ၄ - Kotlin (M4 - မလုံခြုံသောစစ်မှန်ကြောင်းအတည်ပြုခြင်း)

အားနည်းသောပုံစံများကိုရှောင်ကြဉ်ပါ

ဥပမာ ၅: NodeJS (A5 - မကောင်းသော Access Control)

အသုံးပြုသူသည်မည်သည့်မှတ်တမ်းကိုမဆိုဖန်တီးရန်၊ ဖတ်ရန်၊ မွမ်းမံရန်သို့မဟုတ်ဖျက်ရန်ခွင့်ပြုမည့်အစားမော်ဒယ်၏ထိန်းချုပ်မှုထိန်းချုပ်မှုသည်မှတ်တမ်းများပိုင်ဆိုင်မှုကိုပြenfor္ဌာန်းသင့်သည်။

ဥပမာ ၆ - ရည်ရွယ်ချက် C (M6 - ခွင့်ပြုချက်မလုံခြုံမှု)

Applications များသည်ခန့်မှန်းနိုင်သောနံပါတ်များအဖြစ်ခန့်မှန်း။ ရသောနံပါတ်များကိုအသုံးပြုခြင်းကိုရှောင်ကြဉ်သင့်သည်။

ဥပမာ ၇ - PHP (A7 - Cross Site Scripting)

အထူးအက္ခရာများအားလုံး htmlspecialchars () သို့မဟုတ် htmlentities () [html tags အတွင်း၌ရှိလျှင်] ကိုအသုံးပြုပြီး encode လုပ်ပါ။

ဥပမာ ၈: Python (A8 - မလုံခြုံသောသဲကန္တာရဖြစ်ခြင်း)

pickle နှင့် jsonpickle module တို့သည်မလုံခြုံပါ။ စိတ်မချရသောဒေတာများကို deserialize ပြုလုပ်ရန်ဘယ်တော့မှအသုံးမပြုပါနှင့်။

ဥပမာအားဖြင့် ၉။ Python (A9 - လူသိများသောအားနည်းချက်များရှိသည့်အစိတ်အပိုင်းများကိုအသုံးပြုခြင်း)

အနည်းဆုံးအခွင့်ထူးခံသုံးစွဲသူနှင့်လျှောက်လွှာကိုဖွင့်ပါ

ဥပမာ ၁၀ - ဆွစ်ဖ် (M10 - ထူးဆန်းသောလုပ်ဆောင်မှု)

ထုတ်လုပ်မှုဝန်းကျင်တွင်ထုတ်လွှတ်ရန်မရည်ရွယ်ထားသောလျှို့ဝှက် backdoor လုပ်ဆောင်ချက်သို့မဟုတ်အခြားအတွင်းပိုင်းဖွံ့ဖြိုးမှုလုံခြုံရေးထိန်းချုပ်မှုများကိုဖယ်ရှားပါ။

ဥပမာ ၁၁ - WordPress (XML-RPC ပိတ်ထားသည်)

XML-RPC သည် WordPress နှင့်အခြားစနစ်များအကြား data transfer လုပ်နိုင်သော WordPress feature တစ်ခုဖြစ်သည်။ ယနေ့တွင်၎င်းကို REST API မှအကြီးအကျယ်အစားထိုးခဲ့ပြီးဖြစ်သော်လည်းနောက်ပြန်လိုက်ဖက်သောအရာများအတွက်တပ်ဆင်မှုများတွင်ပါ ၀ င်နေဆဲဖြစ်သည်။ WordPress တွင်ဖွင့်ထားလျှင်တိုက်ခိုက်သူသည်အခြားသူများအကြား brute force, pingback (SSRF) တိုက်ခိုက်မှုများပြုလုပ်နိုင်သည်။

ဆောင်းပါးနိဂုံးချုပ်များအတွက်ယေဘုယျပုံရိပ်

ကောက်ချက်

ငါတို့မျှော်လင့်ပါတယ် "အကူအညီအနည်းငယ်သာပို့စ်" ခေါ်ဝဘ်ဆိုက်အကြောင်းကို «Secure Code Wiki», အရာနှင့်ဆက်စပ်သောတန်ဖိုးရှိသောအကြောင်းအရာကမ်းလှမ်း «ကောင်းမွန်သောလုံလုံခြုံခြုံကုဒ်အလေ့အကျင့်များ»; တစ်ခုလုံးကိုအဘို့ကြီးစွာသောအကျိုးစီးပွားနှင့် utility ကိုဖြစ်ပါတယ် «Comunidad de Software Libre y Código Abierto» နှင့်၏အံ့သြစရာ, အလွန်ကြီးမားသောနှင့်ကြီးထွားလာ၏ applications များ၏ဂေဟစနစ်၏ပျံ့နှံ့ဖို့ကြီးစွာသောအလှူငွေ၏ «GNU/Linux».

ယခုသင်ဤကြိုက်လျှင် publicación, မရပ်ပါနှင့် မျှဝေပါ အခြားသူများနှင့်သင်ကြိုက်နှစ်သက်သောဝက်ဘ်ဆိုက်များ၊ လိုင်းများ၊ လူမှုရေးကွန်ယက်များသို့မဟုတ်စာတိုပေးပို့ရေးစနစ်များ၏အသိုင်းအဝိုင်းများ၊ ဖြစ်နိုင်ရင်အခမဲ့၊ ကွေးနနျးစာsignalMastodon သို့မဟုတ်အခြား Fediverse, ဖြစ်နိုင်ရင်။

ပြီးတော့ကျွန်မတို့ရဲ့ပင်မစာမျက်နှာကိုသွားကြည့်ဖို့သတိရပါ «FromLinux» သတင်းများကိုပိုမိုလေ့လာရန်နှင့်ကျွန်ုပ်တို့၏တရားဝင်ချန်နယ်ဖြစ်သည် DesdeLinux မှကြေးနန်းသတင်းအချက်အလက်များပိုမိုရယူရန်မည်သည့်အချိန်တွင်မဆိုသင်သွားရောက်နိုင်သည် အွန်လိုင်းစာကြည့်တိုက် como OpenLibra y JedIT, ဒီခေါင်းစဉ်နှင့်အခြားသူများမှဒီဂျစ်တယ်စာအုပ်များ (PDFs) ကိုဖတ်ရှုလေ့လာနိုင်ရန်။


ဆောင်းပါး၏ပါ ၀ င်မှုသည်ကျွန်ုပ်တို့၏အခြေခံမူများကိုလိုက်နာသည် အယ်ဒီတာအဖွဲ့ကျင့်ဝတ်။ အမှားတစ်ခုကိုသတင်းပို့ရန်ကလစ်နှိပ်ပါ ဒီမှာ.

မှတ်ချက်ပေးပါ၊

သင်၏ထင်မြင်ချက်ကိုချန်ထားပါ

သင့်အီးမေးလ်လိပ်စာပုံနှိပ်ထုတ်ဝေမည်မဟုတ်ပါ။ တောင်းဆိုနေတဲ့လယ်ယာနှင့်အတူမှတ်သားထားတဲ့ *

*

*

  1. အချက်အလက်အတွက်တာဝန်ရှိသည် - Miguel ÁngelGatón
  2. အချက်အလက်များ၏ရည်ရွယ်ချက်: ထိန်းချုပ်ခြင်း SPAM, မှတ်ချက်စီမံခန့်ခွဲမှု။
  3. တရားဝင်: သင်၏ခွင့်ပြုချက်
  4. အချက်အလက်များ၏ဆက်သွယ်မှု - ဒေတာများကိုဥပဒေအရတာ ၀ န်ယူမှုမှ လွဲ၍ တတိယပါတီများသို့ဆက်သွယ်မည်မဟုတ်ပါ။
  5. ဒေတာသိမ်းဆည်းခြင်း: Occentus ကွန်ယက်များ (အီးယူ) မှလက်ခံသည့်ဒေတာဘေ့စ
  6. အခွင့်အရေး - မည်သည့်အချိန်တွင်မဆိုသင်၏အချက်အလက်များကိုကန့်သတ်၊

  1.   luix ဟုသူကပြောသည်

    စိတ်ဝင်စားဖွယ်ကောင်းသောဆောင်းပါးသည်၎င်းသည် developer တိုင်းအတွက်မဖြစ်မနေလိုအပ်သည်။