Secure Code Wiki: Et nett av sikker koding av god praksis

Linux Post Install

6 minutter

Secure Code Wiki: Et nett av sikker koding av god praksis

Secure Code Wiki: Et nett av sikker koding av god praksis

For avansement av Kunnskap og utdanning, og Vitenskap og teknologi Generelt har det alltid vært av største betydning implementeringen av bedre og mer effektive handlinger, tiltak eller anbefalinger (God praksis) å oppnå det endelige målet om, bringe til virkelighet enhver aktivitet eller prosess.

Og Programmering eller Programvare utvikling Som enhver annen profesjonell og IT-aktivitet, har den sin egen "God praksis" assosiert med mange sfærer, spesielt de som er relatert til Cybersecurity av produserte programvareprodukter. Og i dette innlegget vil vi presentere noen «God sikker kodingspraksis », fra et interessant og nyttig nettsted kalt "Secure Code Wiki", så mye om Utviklingsplattformer gratis og åpent, som privat og lukket.

Lisenser for utvikling av gratis og åpen programvare: god praksis

Lisenser for utvikling av gratis og åpen programvare: god praksis

Før vi kommer inn på emnet, vil vi som vanlig legge igjen noen lenker til tidligere publikasjoner relatert til emnet «God praksis innen programmering eller programvareutvikling ».

"... God praksis oppfattet og formidlet av "Kode for utviklingsinitiativ" av den interamerikanske utviklingsbanken, om omfanget av Lisensprogramvare, som må tas når du utvikler programvareprodukter (digitale verktøy), spesielt gratis og åpent." Lisenser for utvikling av gratis og åpen programvare: god praksis

Lisenser for utvikling av gratis og åpen programvare: god praksis
Relatert artikkel:
Lisenser for utvikling av gratis og åpen programvare: god praksis
 Teknisk kvalitet: God praksis i utviklingen av fri programvare
Relatert artikkel:
Teknisk kvalitet: God praksis i utviklingen av fri programvare
 Dokumentasjon: God praksis for å utvikle gratis og åpen programvare
Relatert artikkel:
God praksis for å utvikle gratis og åpen programvare: dokumentasjon

Secure Code Wiki: Good Secure Coding Practices

Secure Code Wiki: Good Secure Coding Practices

Hva er Secure Code Wiki?

Som teksten sier området:

"Secure Code Wiki er en kulminasjon av sikker kodingspraksis for et bredt spekter av språk."

Og du er god praksis og nettstedet til "Secure Code Wiki" har blitt opprettet og vedlikeholdt av en indisk organisasjon kalt Payatus.

Eksempler på god praksis etter typer programmeringsspråk

Siden nettstedet er på engelsk, vil vi vise noen eksempler på sikker koding om forskjellige programmeringsspråk, noen gratis og åpne, og andre private og lukkede, tilbys av nettstedet til utforske potensialet og kvaliteten på innholdet lastet.

I tillegg er det viktig å markere det God praksis vises på Utviklingsplattformer følgende:

  • . NET
  • Java
  • Java for Android
  • Kotlin
  • NodeJS
  • Mål C
  • PHP
  • Python
  • Rubin
  • Swift
  • WordPress

De er delt inn i følgende kategorier for skrivebordsspråk:

  • A1 - Injeksjon (Injeksjon)
  • A2 - Autentisering brutt (Ødelagt autentisering)
  • A3 - Eksponering av sensitive data (Sensitiv dataeksponering)
  • A4 - XML-eksterne enheter (Eksterne XML-enheter / XXE)
  • A5 - Feil tilgangskontroll (Brutt tilgangskontroll)
  • A6 - Dekonfigurasjon av sikkerhet (Feilkonfigurasjon av sikkerhet)
  • A7 - Skripter på tvers av nettsteder (Skripting på tvers av nettsteder / XSS)
  • A8 - Usikker deserialisering (Usikker deserialisering)
  • A9 - Bruk av komponenter med kjente sårbarheter (Bruke komponenter med kjente sikkerhetsproblemer)
  • A10 - Utilstrekkelig registrering og tilsyn (Utilstrekkelig logging og overvåking)

Og også delt inn i følgende kategorier for mobile språk:

  • M1 - Feil bruk av plattformen (Feil plattformbruk)
  • M2 - Usikker datalagring (Usikker datalagring)
  • M3 - Usikker kommunikasjon (Usikker kommunikasjon)
  • M4 - Usikker autentisering (Usikker autentisering)
  • M5 - Utilstrekkelig kryptografi (Utilstrekkelig kryptografi)
  • M6 - Usikker autorisasjon (Usikker godkjenning)
  • M7 - Kundekodekvalitet (Klientkodekvalitet)
  • M8 - Kodebehandling (Kode manipulering)
  • M9 - Reverse Engineering (Omvendt ingeniørfag)
  • M10 - Merkelig funksjonalitet (Ekstrem funksjonalitet)

Eksempel 1: .Net (A1- Injection)

Å bruke en object relational mapper (ORM) eller lagrede prosedyrer er den mest effektive måten å motvirke sårbarheten for SQL-injeksjon.

Eksempel 2: Java (A2 - Autentisering brutt)

Der det er mulig, implementer flerfaktorautentisering for å forhindre automatisert, legitimasjonsfylling, brute force og gjenbruk av stjålet legitimasjon.

Eksempel 3: Java For Android (M3 - Usikker kommunikasjon)

Det er viktig å bruke SSL / TLS på transportkanalene som brukes av mobilapplikasjonen for å overføre sensitiv informasjon, sesjonstokener eller andre sensitive data til en backend API eller webtjeneste.

Eksempel 4: Kotlin (M4 - Usikker autentisering)

Unngå svake mønstre

Eksempel 5: NodeJS (A5 - dårlig tilgangskontroll)

Modellens tilgangskontroller skal håndheve eierskapet til postene, i stedet for å tillate brukeren å opprette, lese, oppdatere eller slette noen poster.

Eksempel 6: Mål C (M6 - Autorisasjon usikker)

Søknader bør unngå å bruke gjettbare tall som en identifiserende referanse.

Eksempel 7: PHP (A7 - Cross Site Scripting)

Kod alle spesialtegn ved hjelp av htmlspecialchars () eller htmlentities () [hvis det er innenfor html-koder].

Eksempel 8: Python (A8 - Usikker deserialisering)

Pickle- og jsonpickle-modulen er ikke trygg, bruk den aldri til å deserialisere upålitelige data.

Eksempel 9: Python (A9 - bruk av komponenter med kjente sikkerhetsproblemer)

Kjør applikasjonen med den minst privilegerte brukeren

Eksempel 10: Swift (M10 - Merkelig funksjonalitet)

Fjern skjult bakdørsfunksjonalitet eller andre interne sikkerhetskontroller for utvikling som ikke er ment å bli frigitt i et produksjonsmiljø.

Eksempel 11: WordPress (XML-RPC Deaktiver)

XML-RPC er en WordPress-funksjon som muliggjør dataoverføring mellom WordPress og andre systemer. I dag er det i stor grad erstattet av REST API, men det er fortsatt inkludert i installasjonene for bakoverkompatibilitet. Hvis aktivert i WordPress, kan en angriper utføre brute force, pingback (SSRF) -angrep, blant andre.

Generisk bilde for artikkelkonklusjoner

Konklusjon

Vi håper dette "nyttig lite innlegg" om nettstedet som heter «Secure Code Wiki», som tilbyr verdifullt innhold relatert til «God sikker kodingspraksis »; er av stor interesse og nytte, for hele «Comunidad de Software Libre y Código Abierto» og med stort bidrag til spredningen av det fantastiske, gigantiske og voksende økosystemet med applikasjoner av «GNU/Linux».

For nå, hvis du likte dette publicación, Ikke stopp del det med andre på dine favorittnettsteder, kanaler, grupper eller fellesskap av sosiale nettverk eller meldingssystemer, helst gratis, åpent og / eller sikrere som TelegramSignalМастодон eller en annen av Fediverse, helst.

Og husk å besøke hjemmesiden vår kl «DesdeLinux» for å utforske flere nyheter, samt bli med på vår offisielle kanal Telegram av DesdeLinuxMens du kan besøke hvilken som helst for mer informasjon Nettbibliotek som OpenLibra y jedit, for å få tilgang til og lese digitale bøker (PDF-filer) om dette emnet eller andre.


Legg igjen kommentaren

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Kontroller SPAM, kommentaradministrasjon.
  3. Legitimering: Ditt samtykke
  4. Kommunikasjon av dataene: Dataene vil ikke bli kommunisert til tredjeparter bortsett fra ved juridisk forpliktelse.
  5. Datalagring: Database vert for Occentus Networks (EU)
  6. Rettigheter: Når som helst kan du begrense, gjenopprette og slette informasjonen din.

  1.   luix sa
    hace 3 år

    Interessant artikkel, det skal være obligatorisk for alle utviklere ..

    Svar på luix