Secure Code Wiki: o rețea de bune practici de codificare sigură

Secure Code Wiki: o rețea de bune practici de codificare sigură

Secure Code Wiki: o rețea de bune practici de codificare sigură

Pentru avansarea Cunoaștere și educație, și Stiinta si Tehnologie În general, a fost întotdeauna de cea mai mare importanță implementarea programului acțiuni mai bune și mai eficiente, măsuri sau recomandări (Bune practici) pentru a atinge scopul final al, aduce la rod orice activitate sau proces.

Și programare ieșire Dezvoltare de software Ca orice altă activitate profesională și IT, are propria sa activitate "Bune practici" asociate cu multe sfere, în special cele legate de securitatea cibernetică a produselor software produse. Și în această postare vă vom prezenta câteva «Bune practici de codificare sigură », de pe un site interesant și util numit „Cod securizat Wiki”, atât de multe despre Platforme de dezvoltare gratuit și deschis, ca privat și închis.

Licențe pentru dezvoltarea de software gratuit și deschis: bune practici

Licențe pentru dezvoltarea de software gratuit și deschis: bune practici

Înainte de a intra în subiect, ca de obicei, vom lăsa mai târziu câteva linkuri către publicațiile anterioare legate de tema «Bune practici în programare sau dezvoltare software ».

… Bune practici concepute și diseminate de Cod pentru inițiativă de dezvoltareMatei 22:21 al Băncii Interamericane de Dezvoltare, cu privire la sfera Software de licență, care ar trebui luate atunci când se dezvoltă produse software (instrumente digitale), în special gratuite și deschise.Matei 22:21 Licențe pentru dezvoltarea de software gratuit și deschis: bune practici

Licențe pentru dezvoltarea de software gratuit și deschis: bune practici
Articol asociat:
Licențe pentru dezvoltarea de software gratuit și deschis: bune practici
Calitate tehnică: bune practici în dezvoltarea software-ului liber
Articol asociat:
Calitate tehnică: bune practici în dezvoltarea software-ului liber
Documentație: bune practici pentru dezvoltarea de software gratuit și deschis
Articol asociat:
Bune practici pentru dezvoltarea software-ului gratuit și deschis: documentație

Secure Code Wiki: bune practici de codificare sigură

Secure Code Wiki: bune practici de codificare sigură

Ce este Secure Code Wiki?

Pe măsură ce este loc:

Secure Code Wiki este punctul culminant al practicilor de codificare securizate pentru o gamă largă de limbi.Matei 22:21

Si tu esti bune practici și site-ul web al „Cod securizat Wiki” au fost create și întreținute de o organizație indiană numită Payatus.

Exemple de bune practici pe tipuri de limbaje de programare

Deoarece, site-ul este în limba engleză, vă vom arăta câteva exemple de codificare sigură despre diverse limbaje de programare, unele gratuite și deschise, iar altele private și închise, oferite de site-ul web respectiv explorați potențialul și calitatea conținutului încărcat.

În plus, este important să subliniem acest lucru Bune practici afișat pe Platforme de dezvoltare ca urmare a:

  • . NET
  • Java
  • Java pentru Android
  • Kotlin
  • NodeJS
  • Obiectiv C
  • PHP
  • Piton
  • Rubin
  • Rapid
  • WordPress

Acestea sunt împărțite în următoarele categorii pentru limbile pentru desktop:

  • A1 - Injecție (Injecţie)
  • A2 - Autentificare întreruptă (Autentificare defectă)
  • A3 - Expunerea datelor sensibile (Expunere la date sensibile)
  • A4 - Entități externe XML (Entități externe XML / XXE)
  • A5 - Control acces defect (Control acces intrerupt)
  • A6 - Deconfigurarea securității (Configurare greșită de securitate)
  • A7 - Cross Site Scripting (Scripturi între site-uri / XSS)
  • A8 - Deserializare nesigură (Deserializare nesigură)
  • A9 - Utilizarea componentelor cu vulnerabilități cunoscute (Utilizarea componentelor cu vulnerabilități cunoscute)
  • A10 - Înregistrare și supraveghere insuficiente (Logare și monitorizare insuficiente)

Și, de asemenea, împărțit în următoarele categorii pentru limbile mobile:

  • M1 - Utilizarea necorespunzătoare a platformei (Utilizare necorespunzătoare a platformei)
  • M2 - stocare nesigură a datelor (Stocare nesigură a datelor)
  • M3 - Comunicare nesigură (Comunicare nesigură)
  • M4 - Autentificare nesigură (Autentificare nesigură)
  • M5 - Criptografie insuficientă (Criptografie insuficientă)
  • M6 - Autorizare nesigură (Autorizare nesigură)
  • M7 - Calitatea codului clientului (Calitatea codului clientului)
  • M8 - Manipularea codului (Modificare cod)
  • M9 - Inginerie inversă (Inginerie inversă)
  • M10 - Funcționalitate ciudată (Funcționalitate străină)

Exemplul 1: .Net (A1- Injecție)

Utilizarea unui mapor relațional de obiecte (ORM) sau a unor proceduri stocate este cel mai eficient mod de a contracara vulnerabilitatea injecției SQL.

Exemplul 2: Java (A2 - Autentificare întreruptă)

Ori de câte ori este posibil, implementați autentificarea cu mai mulți factori pentru a preveni automatizarea, completarea acreditării, forța brută și refolosirea atacurilor asupra acreditării furate.

Exemplul 3: Java pentru Android (M3 - Comunicare nesigură)

Este imperativ să se aplice SSL / TLS canalelor de transport utilizate de aplicația mobilă pentru a transmite informații sensibile, jetoane de sesiune sau alte date sensibile către un backend API sau un serviciu web.

Exemplul 4: Kotlin (M4 - autentificare nesigură)

Evitați tiparele slabe

Exemplul 5: NodeJS (A5 - Control acces incorect)

Controalele de acces ale modelului ar trebui să impună proprietatea asupra înregistrărilor, mai degrabă decât să permită utilizatorului să creeze, să citească, să actualizeze sau să șteargă orice înregistrare.

Exemplul 6: Obiectivul C (M6 - Autorizare nesigură)

Aplicațiile ar trebui să evite utilizarea numerelor ghicibile ca referință de identificare.

Exemplul 7: PHP (A7 - Cross Site Scripting)

Codificați toate caracterele speciale folosind htmlspecialchars () sau htmlentities () [dacă se află în etichete html].

Exemplul 8: Python (A8 - Deserializare nesigură)

Modulul pickle și jsonpickle nu este sigur, nu-l folosiți niciodată pentru a deserializa datele de încredere.

Exemplul 9: Python (A9 - Utilizarea componentelor cu vulnerabilități cunoscute)

Rulați aplicația cu cel mai puțin privilegiat utilizator

Exemplul 10: Swift (M10 - Funcționalitate ciudată)

Eliminați funcționalitatea ascunsă din spate sau alte controale de securitate de dezvoltare internă care nu sunt destinate a fi lansate într-un mediu de producție.

Exemplul 11: WordPress (Dezactivare XML-RPC)

XML-RPC este o funcție WordPress care permite transferul de date între WordPress și alte sisteme. Astăzi a fost în mare parte înlocuit de API-ul REST, dar este încă inclus în instalări pentru compatibilitate inversă. Dacă este activat în WordPress, un atacator poate efectua atacuri de forță brută, pingback (SSRF), printre altele.

Imagine generică pentru concluziile articolului

Concluzie

Sperăm acest lucru  puțină postare utilăMatei 22:21 despre site-ul numit «Secure Code Wiki», care oferă conținut valoros legat de «Bune practici de codificare sigură »; este de mare interes și utilitate, pentru întreg «Comunidad de Software Libre y Código Abierto» și de o mare contribuție la difuzarea minunatului, gigantului și creșterii ecosistemului de aplicații al «GNU/Linux».

Deocamdată, dacă ți-a plăcut asta publicación, Nu te opri împărtășește-l cu alții, pe site-urile, canalele, grupurile sau comunitățile dvs. preferate de rețele sociale sau sisteme de mesagerie, de preferință gratuite, deschise și / sau mai sigure ca TelegramăSemnalMastodont sau altul din Fediverse, preferabil.

Și nu uitați să vizitați pagina noastră principală la «DesdeLinux» pentru a explora mai multe știri, precum și pentru a vă alătura canalului nostru oficial de Telegrama de DesdeLinuxÎn timp ce, pentru mai multe informații, puteți vizita oricare Biblioteca online ca OpenLibra y jedit, pentru a accesa și a citi cărți digitale (PDF-uri) pe această temă sau altele.


Un comentariu, lasă-l pe al tău

Lasă comentariul tău

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

*

*

  1. Responsabil pentru date: Miguel Ángel Gatón
  2. Scopul datelor: Control SPAM, gestionarea comentariilor.
  3. Legitimare: consimțământul dvs.
  4. Comunicarea datelor: datele nu vor fi comunicate terților decât prin obligație legală.
  5. Stocarea datelor: bază de date găzduită de Occentus Networks (UE)
  6. Drepturi: în orice moment vă puteți limita, recupera și șterge informațiile.

  1.   luix el a spus

    Articol interesant, ar trebui să fie obligatoriu pentru fiecare dezvoltator ..