Для продвижения Знания и образованиеИ Наука и технология Вообще, всегда было первостепенное значение реализация лучшие и более эффективные действия, меры или рекомендации (Передовой опыт) для достижения конечной цели, довести до конца любое действие или процесс.
И программирование o el Разработка программного обеспечения Как и в любой другой профессиональной и IT-деятельности, здесь есть свои «Хорошие практики» связанных со многими сферами, особенно связанными с кибербезопасность выпускаемых программных продуктов. И в этом посте мы представим некоторые «Надлежащие методы безопасного программирования », с интересного и полезного сайта под названием "Secure Code Wiki", так много о Платформы разработки бесплатные и открытые, частные и закрытые.
Прежде чем перейти к теме, мы, как обычно, оставим несколько ссылок на предыдущие публикации, связанные с темой «Передовой опыт программирования или разработки программного обеспечения ».
… Передовой опыт, созданный и распространяемый Кодекс инициативы развития Межамериканского банка развития в рамках Лицензионное программное обеспечение, что необходимо учитывать при разработке программных продуктов (цифровых инструментов), особенно бесплатных и открытых. Лицензии на разработку свободного и открытого программного обеспечения: передовой опыт
Secure Code Wiki: передовые методы безопасного кодирования
Что такое Secure Code Wiki?
Как говорится в его тексте сайт:
Secure Code Wiki - это кульминация практики безопасного кодирования для широкого диапазона языков.
И вы хорошая практика и веб-сайт "Secure Code Wiki" были созданы и поддерживаются индийской организацией под названием Паяту.
Примеры передовой практики по типам языков программирования
Поскольку веб-сайт на английском языке, мы покажем некоторые примеры безопасного кодирования о различных языки программирования, некоторые бесплатные и открытые, а другие частные и закрытые, предлагаемые указанным веб-сайтом для изучить потенциал и качество контента загружен.
Кроме того, важно подчеркнуть, что Best Practices отображается на Платформы разработки следующий:
- . NET
- Java
- Java для Android
- Котлин
- NodeJS
- Цель C
- PHP
- Питон
- Ruby
- SWIFT
- WordPress
Для настольных языков они разделены на следующие категории:
- A1 - Впрыск (Инъекция)
- A2 - Аутентификация нарушена (Сломанная аутентификация)
- A3 - Раскрытие конфиденциальных данных (Раскрытие конфиденциальных данных)
- A4 - Внешние объекты XML (Внешние объекты XML / XXE)
- A5 - Неправильный контроль доступа (Сломанный контроль доступа)
- A6 - Удаление конфигурации безопасности (Неверная конфигурация безопасности)
- A7 - Межсайтовый скриптинг (Межсайтовый скриптинг / XSS)
- A8 - Небезопасная десериализация (Небезопасная десериализация)
- A9 - Использование компонентов с известными уязвимостями (Использование компонентов с известными уязвимостями)
- A10 - Недостаточная регистрация и контроль (Недостаточное ведение журнала и мониторинг)
А также разделены на следующие категории для мобильных языков:
- M1 - Неправильное использование платформы (Неправильное использование платформы)
- M2 - Небезопасное хранилище данных (Небезопасное хранилище данных)
- M3 - Небезопасная связь (Небезопасная связь)
- M4 - небезопасная аутентификация (Небезопасная аутентификация)
- M5 - Недостаточная криптография (Недостаточная криптография)
- M6 - Небезопасная авторизация (Небезопасная авторизация)
- M7 - Качество кода клиента (Качество клиентского кода)
- M8 - Манипуляции с кодом (Подделка кода)
- M9 - Обратный инжиниринг (Разобрать механизм с целью понять, как это работает)
- M10 - Странная функциональность (Внешняя функциональность)
Пример 1: .Net (A1- Внедрение)
Использование объектно-реляционного сопоставителя (ORM) или хранимых процедур - самый эффективный способ противостоять уязвимости SQL-инъекции.
Пример 2: Java (A2 - проверка подлинности нарушена)
По возможности внедряйте многофакторную аутентификацию, чтобы предотвратить автоматическое заполнение учетных данных, грубую силу и повторное использование украденных учетных данных.
Пример 3: Java для Android (M3 - небезопасная связь)
Крайне важно применять SSL / TLS к транспортным каналам, используемым мобильным приложением для передачи конфиденциальной информации, токенов сеанса или других конфиденциальных данных в серверный API или веб-службу.
Пример 4: Котлин (M4 - небезопасная аутентификация)
Избегайте слабых паттернов
Пример 5: NodeJS (A5 - плохой контроль доступа)
Элементы управления доступом модели должны обеспечивать право собственности на записи, а не позволять пользователю создавать, читать, обновлять или удалять какие-либо записи.
Пример 6: Цель C (M6 - небезопасная авторизация)
Приложениям следует избегать использования угадываемых чисел в качестве идентифицирующих ссылок.
Пример 7: PHP (A7 - межсайтовый скриптинг)
Кодируйте все специальные символы с помощью htmlspecialchars () или htmlentities () [если они находятся в тегах html].
Пример 8: Python (A8 - Небезопасная десериализация)
Модуль pickle и jsonpickle небезопасен, никогда не используйте его для десериализации ненадежных данных.
Пример 9: Python (A9 - Использование компонентов с известными уязвимостями)
Запустите приложение с наименее привилегированным пользователем
Пример 10: Swift (M10 - Странная функциональность)
Удалите скрытые функции бэкдора или другие внутренние средства контроля безопасности разработки, которые не предназначены для выпуска в производственной среде.
Пример 11: WordPress (отключение XML-RPC)
XML-RPC - это функция WordPress, которая позволяет передавать данные между WordPress и другими системами. Сегодня он в значительной степени заменен REST API, но он все еще включен в установку для обратной совместимости. Если этот параметр включен в WordPress, злоумышленник может, среди прочего, выполнять атаки методом грубой силы, pingback (SSRF).
Заключение
Мы надеемся на это полезный небольшой пост о сайте под названием «Secure Code Wiki»
, который предлагает ценный контент, связанный с «Надлежащие методы безопасного программирования »; представляет большой интерес и полезность для всего «Comunidad de Software Libre y Código Abierto»
и большой вклад в распространение замечательной, гигантской и растущей экосистемы приложений «GNU/Linux»
.
А пока, если вам это понравилось publicación
, Не останавливаются поделись с другими, на ваших любимых веб-сайтах, каналах, группах или сообществах социальных сетей или систем обмена сообщениями, предпочтительно бесплатно, открыто и / или более безопасно, поскольку Telegram, сигнал, Мастодонт или другой из Fediverse, желательно.
И не забудьте посетить нашу домашнюю страницу по адресу «DesdeLinux» чтобы узнать больше новостей, а также присоединиться к нашему официальному каналу Telegram от DesdeLinux. А для получения дополнительной информации вы можете посетить любой Онлайн-библиотека в качестве OpenLibra y ДжедИТ, для доступа и чтения электронных книг (PDF) по этой или другим темам.
Интересная статья, она должна быть обязательной для каждого разработчика ..