Secure Code Wiki: Сеть передовых практик безопасного кодирования

Secure Code Wiki: Сеть передовых практик безопасного кодирования

Для продвижения Знания и образованиеИ Наука и технология Вообще, всегда было первостепенное значение реализация лучшие и более эффективные действия, меры или рекомендации (Передовой опыт) для достижения конечной цели, довести до конца любое действие или процесс.

И программирование o el Разработка программного обеспечения Как и в любой другой профессиональной и IT-деятельности, здесь есть свои «Хорошие практики» связанных со многими сферами, особенно связанными с кибербезопасность выпускаемых программных продуктов. И в этом посте мы представим некоторые «Надлежащие методы безопасного программирования », с интересного и полезного сайта под названием "Secure Code Wiki", так много о Платформы разработки бесплатные и открытые, частные и закрытые.

Лицензии на разработку свободного и открытого программного обеспечения: передовой опыт

Прежде чем перейти к теме, мы, как обычно, оставим несколько ссылок на предыдущие публикации, связанные с темой «Передовой опыт программирования или разработки программного обеспечения ».

… Передовой опыт, созданный и распространяемый Кодекс инициативы развития Межамериканского банка развития в рамках Лицензионное программное обеспечение, что необходимо учитывать при разработке программных продуктов (цифровых инструментов), особенно бесплатных и открытых. Лицензии на разработку свободного и открытого программного обеспечения: передовой опыт

Теме статьи:

Лицензии на разработку свободного и открытого программного обеспечения: передовой опыт

Теме статьи:

Техническое качество: передовой опыт разработки свободного программного обеспечения

Теме статьи:

Передовой опыт разработки бесплатного и открытого программного обеспечения: документация

Secure Code Wiki: передовые методы безопасного кодирования

Что такое Secure Code Wiki?

Как говорится в его тексте сайт:

Secure Code Wiki - это кульминация практики безопасного кодирования для широкого диапазона языков.

И вы хорошая практика и веб-сайт "Secure Code Wiki" были созданы и поддерживаются индийской организацией под названием Паяту.

Примеры передовой практики по типам языков программирования

Поскольку веб-сайт на английском языке, мы покажем некоторые примеры безопасного кодирования о различных языки программирования, некоторые бесплатные и открытые, а другие частные и закрытые, предлагаемые указанным веб-сайтом для изучить потенциал и качество контента загружен.

Кроме того, важно подчеркнуть, что Best Practices отображается на Платформы разработки следующий:

• . NET
• Java
• Java для Android
• Котлин
• NodeJS
• Цель C
• PHP
• Питон
• Ruby
• SWIFT
• WordPress

Для настольных языков они разделены на следующие категории:

• A1 - Впрыск (Инъекция)
• A2 - Аутентификация нарушена (Сломанная аутентификация)
• A3 - Раскрытие конфиденциальных данных (Раскрытие конфиденциальных данных)
• A4 - Внешние объекты XML (Внешние объекты XML / XXE)
• A5 - Неправильный контроль доступа (Сломанный контроль доступа)
• A6 - Удаление конфигурации безопасности (Неверная конфигурация безопасности)
• A7 - Межсайтовый скриптинг (Межсайтовый скриптинг / XSS)
• A8 - Небезопасная десериализация (Небезопасная десериализация)
• A9 - Использование компонентов с известными уязвимостями (Использование компонентов с известными уязвимостями)
• A10 - Недостаточная регистрация и контроль (Недостаточное ведение журнала и мониторинг)

А также разделены на следующие категории для мобильных языков:

• M1 - Неправильное использование платформы (Неправильное использование платформы)
• M2 - Небезопасное хранилище данных (Небезопасное хранилище данных)
• M3 - Небезопасная связь (Небезопасная связь)
• M4 - небезопасная аутентификация (Небезопасная аутентификация)
• M5 - Недостаточная криптография (Недостаточная криптография)
• M6 - Небезопасная авторизация (Небезопасная авторизация)
• M7 - Качество кода клиента (Качество клиентского кода)
• M8 - Манипуляции с кодом (Подделка кода)
• M9 - Обратный инжиниринг (Разобрать механизм с целью понять, как это работает)
• M10 - Странная функциональность (Внешняя функциональность)

Пример 1: .Net (A1- Внедрение)

Использование объектно-реляционного сопоставителя (ORM) или хранимых процедур - самый эффективный способ противостоять уязвимости SQL-инъекции.

Пример 2: Java (A2 - проверка подлинности нарушена)

По возможности внедряйте многофакторную аутентификацию, чтобы предотвратить автоматическое заполнение учетных данных, грубую силу и повторное использование украденных учетных данных.

Пример 3: Java для Android (M3 - небезопасная связь)

Крайне важно применять SSL / TLS к транспортным каналам, используемым мобильным приложением для передачи конфиденциальной информации, токенов сеанса или других конфиденциальных данных в серверный API или веб-службу.

Пример 4: Котлин (M4 - небезопасная аутентификация)

Избегайте слабых паттернов

Пример 5: NodeJS (A5 - плохой контроль доступа)

Элементы управления доступом модели должны обеспечивать право собственности на записи, а не позволять пользователю создавать, читать, обновлять или удалять какие-либо записи.

Пример 6: Цель C (M6 - небезопасная авторизация)

Приложениям следует избегать использования угадываемых чисел в качестве идентифицирующих ссылок.

Пример 7: PHP (A7 - межсайтовый скриптинг)

Кодируйте все специальные символы с помощью htmlspecialchars () или htmlentities () [если они находятся в тегах html].

Пример 8: Python (A8 - Небезопасная десериализация)

Модуль pickle и jsonpickle небезопасен, никогда не используйте его для десериализации ненадежных данных.

Пример 9: Python (A9 - Использование компонентов с известными уязвимостями)

Запустите приложение с наименее привилегированным пользователем

Пример 10: Swift (M10 - Странная функциональность)

Удалите скрытые функции бэкдора или другие внутренние средства контроля безопасности разработки, которые не предназначены для выпуска в производственной среде.

Пример 11: WordPress (отключение XML-RPC)

XML-RPC - это функция WordPress, которая позволяет передавать данные между WordPress и другими системами. Сегодня он в значительной степени заменен REST API, но он все еще включен в установку для обратной совместимости. Если этот параметр включен в WordPress, злоумышленник может, среди прочего, выполнять атаки методом грубой силы, pingback (SSRF).

Заключение

Мы надеемся на это  полезный небольшой пост о сайте под названием «Secure Code Wiki», который предлагает ценный контент, связанный с «Надлежащие методы безопасного программирования »; представляет большой интерес и полезность для всего «Comunidad de Software Libre y Código Abierto» и большой вклад в распространение замечательной, гигантской и растущей экосистемы приложений «GNU/Linux».

А пока, если вам это понравилось publicación, Не останавливаются поделись с другими, на ваших любимых веб-сайтах, каналах, группах или сообществах социальных сетей или систем обмена сообщениями, предпочтительно бесплатно, открыто и / или более безопасно, поскольку Telegram, сигнал, Мастодонт или другой из Fediverse, желательно.

И не забудьте посетить нашу домашнюю страницу по адресу «DesdeLinux» чтобы узнать больше новостей, а также присоединиться к нашему официальному каналу Telegram от DesdeLinux. А для получения дополнительной информации вы можете посетить любой Онлайн-библиотека в качестве OpenLibra y ДжедИТ, для доступа и чтения электронных книг (PDF) по этой или другим темам.