Pentru avansarea Cunoaștere și educație, și Stiinta si Tehnologie În general, a fost întotdeauna de cea mai mare importanță implementarea programului acțiuni mai bune și mai eficiente, măsuri sau recomandări (Bune practici) pentru a atinge scopul final al, aduce la rod orice activitate sau proces.
Și programare ieșire Dezvoltare de software Ca orice altă activitate profesională și IT, are propria sa activitate "Bune practici" asociate cu multe sfere, în special cele legate de securitatea cibernetică a produselor software produse. Și în această postare vă vom prezenta câteva «Bune practici de codificare sigură », de pe un site interesant și util numit „Cod securizat Wiki”, atât de multe despre Platforme de dezvoltare gratuit și deschis, ca privat și închis.
Înainte de a intra în subiect, ca de obicei, vom lăsa mai târziu câteva linkuri către publicațiile anterioare legate de tema «Bune practici în programare sau dezvoltare software ».
… Bune practici concepute și diseminate de Cod pentru inițiativă de dezvoltareMatei 22:21 al Băncii Interamericane de Dezvoltare, cu privire la sfera Software de licență, care ar trebui luate atunci când se dezvoltă produse software (instrumente digitale), în special gratuite și deschise.Matei 22:21 Licențe pentru dezvoltarea de software gratuit și deschis: bune practici
Secure Code Wiki: bune practici de codificare sigură
Ce este Secure Code Wiki?
Pe măsură ce este loc:
Secure Code Wiki este punctul culminant al practicilor de codificare securizate pentru o gamă largă de limbi.Matei 22:21
Si tu esti bune practici și site-ul web al „Cod securizat Wiki” au fost create și întreținute de o organizație indiană numită Payatus.
Exemple de bune practici pe tipuri de limbaje de programare
Deoarece, site-ul este în limba engleză, vă vom arăta câteva exemple de codificare sigură despre diverse limbaje de programare, unele gratuite și deschise, iar altele private și închise, oferite de site-ul web respectiv explorați potențialul și calitatea conținutului încărcat.
În plus, este important să subliniem acest lucru Bune practici afișat pe Platforme de dezvoltare ca urmare a:
- . NET
- Java
- Java pentru Android
- Kotlin
- NodeJS
- Obiectiv C
- PHP
- Piton
- Rubin
- Rapid
- WordPress
Acestea sunt împărțite în următoarele categorii pentru limbile pentru desktop:
- A1 - Injecție (Injecţie)
- A2 - Autentificare întreruptă (Autentificare defectă)
- A3 - Expunerea datelor sensibile (Expunere la date sensibile)
- A4 - Entități externe XML (Entități externe XML / XXE)
- A5 - Control acces defect (Control acces intrerupt)
- A6 - Deconfigurarea securității (Configurare greșită de securitate)
- A7 - Cross Site Scripting (Scripturi între site-uri / XSS)
- A8 - Deserializare nesigură (Deserializare nesigură)
- A9 - Utilizarea componentelor cu vulnerabilități cunoscute (Utilizarea componentelor cu vulnerabilități cunoscute)
- A10 - Înregistrare și supraveghere insuficiente (Logare și monitorizare insuficiente)
Și, de asemenea, împărțit în următoarele categorii pentru limbile mobile:
- M1 - Utilizarea necorespunzătoare a platformei (Utilizare necorespunzătoare a platformei)
- M2 - stocare nesigură a datelor (Stocare nesigură a datelor)
- M3 - Comunicare nesigură (Comunicare nesigură)
- M4 - Autentificare nesigură (Autentificare nesigură)
- M5 - Criptografie insuficientă (Criptografie insuficientă)
- M6 - Autorizare nesigură (Autorizare nesigură)
- M7 - Calitatea codului clientului (Calitatea codului clientului)
- M8 - Manipularea codului (Modificare cod)
- M9 - Inginerie inversă (Inginerie inversă)
- M10 - Funcționalitate ciudată (Funcționalitate străină)
Exemplul 1: .Net (A1- Injecție)
Utilizarea unui mapor relațional de obiecte (ORM) sau a unor proceduri stocate este cel mai eficient mod de a contracara vulnerabilitatea injecției SQL.
Exemplul 2: Java (A2 - Autentificare întreruptă)
Ori de câte ori este posibil, implementați autentificarea cu mai mulți factori pentru a preveni automatizarea, completarea acreditării, forța brută și refolosirea atacurilor asupra acreditării furate.
Exemplul 3: Java pentru Android (M3 - Comunicare nesigură)
Este imperativ să se aplice SSL / TLS canalelor de transport utilizate de aplicația mobilă pentru a transmite informații sensibile, jetoane de sesiune sau alte date sensibile către un backend API sau un serviciu web.
Exemplul 4: Kotlin (M4 - autentificare nesigură)
Evitați tiparele slabe
Exemplul 5: NodeJS (A5 - Control acces incorect)
Controalele de acces ale modelului ar trebui să impună proprietatea asupra înregistrărilor, mai degrabă decât să permită utilizatorului să creeze, să citească, să actualizeze sau să șteargă orice înregistrare.
Exemplul 6: Obiectivul C (M6 - Autorizare nesigură)
Aplicațiile ar trebui să evite utilizarea numerelor ghicibile ca referință de identificare.
Exemplul 7: PHP (A7 - Cross Site Scripting)
Codificați toate caracterele speciale folosind htmlspecialchars () sau htmlentities () [dacă se află în etichete html].
Exemplul 8: Python (A8 - Deserializare nesigură)
Modulul pickle și jsonpickle nu este sigur, nu-l folosiți niciodată pentru a deserializa datele de încredere.
Exemplul 9: Python (A9 - Utilizarea componentelor cu vulnerabilități cunoscute)
Rulați aplicația cu cel mai puțin privilegiat utilizator
Exemplul 10: Swift (M10 - Funcționalitate ciudată)
Eliminați funcționalitatea ascunsă din spate sau alte controale de securitate de dezvoltare internă care nu sunt destinate a fi lansate într-un mediu de producție.
Exemplul 11: WordPress (Dezactivare XML-RPC)
XML-RPC este o funcție WordPress care permite transferul de date între WordPress și alte sisteme. Astăzi a fost în mare parte înlocuit de API-ul REST, dar este încă inclus în instalări pentru compatibilitate inversă. Dacă este activat în WordPress, un atacator poate efectua atacuri de forță brută, pingback (SSRF), printre altele.
Concluzie
Sperăm acest lucru puțină postare utilăMatei 22:21 despre site-ul numit «Secure Code Wiki»
, care oferă conținut valoros legat de «Bune practici de codificare sigură »; este de mare interes și utilitate, pentru întreg «Comunidad de Software Libre y Código Abierto»
și de o mare contribuție la difuzarea minunatului, gigantului și creșterii ecosistemului de aplicații al «GNU/Linux»
.
Deocamdată, dacă ți-a plăcut asta publicación
, Nu te opri împărtășește-l cu alții, pe site-urile, canalele, grupurile sau comunitățile dvs. preferate de rețele sociale sau sisteme de mesagerie, de preferință gratuite, deschise și / sau mai sigure ca Telegramă, Semnal, Mastodont sau altul din Fediverse, preferabil.
Și nu uitați să vizitați pagina noastră principală la «DesdeLinux» pentru a explora mai multe știri, precum și pentru a vă alătura canalului nostru oficial de Telegrama de DesdeLinux. În timp ce, pentru mai multe informații, puteți vizita oricare Biblioteca online ca OpenLibra y jedit, pentru a accesa și a citi cărți digitale (PDF-uri) pe această temă sau altele.
Articol interesant, ar trebui să fie obligatoriu pentru fiecare dezvoltator ..