Za pokrok v Vedomosti a vzdelávaniea Veda a technika Všeobecne vždy bolo nanajvýš dôležité implementovať lepšie a efektívnejšie akcie, opatrení alebo odporúčaní (Osvedčené postupy) dosiahnuť konečný cieľ, uskutočniť akejkoľvek činnosti alebo procesu.
A programovanie alebo Vývoj softvéru Ako každá iná profesionálna a IT činnosť má aj svoju vlastnú „Osvedčené postupy“ v mnohých sférach, najmä v tých, ktoré súvisia s Cybersecurity produkovaných softvérových produktov. A v tomto príspevku niektoré predstavíme «Osvedčené postupy bezpečného kódovania », zo zaujímavého a užitočného webu s názvom „Secure Code Wiki“, toľko o Vývojové platformy zadarmo a otvorené, ako súkromné a uzavreté.
Predtým, ako sa zvyčajne začneme venovať tejto téme, ponecháme si neskôr odkazy na predchádzajúce publikácie týkajúce sa témy «Osvedčené postupy pri programovaní alebo vývoji softvéru ».
"… Osvedčené postupy vypracované a šírené "Kódex pre rozvojovú iniciatívu" Medziamerickej rozvojovej banky, o rozsahu Licenčný softvér, ktoré by sa mali brať do úvahy pri vývoji softvérových produktov (digitálnych nástrojov), najmä bezplatných a otvorených." Licencie na vývoj slobodného a otvoreného softvéru: Osvedčené postupy
Secure Code Wiki: Dobré postupy bezpečného kódovania
Čo je Secure Code Wiki?
Ako hovorí jeho text miesto:
"Secure Code Wiki je zavŕšením postupov bezpečného kódovania pre širokú škálu jazykov."
A vy ste osvedčených postupov a webová stránka „Secure Code Wiki“ boli vytvorené a udržiavané indickou organizáciou s názvom Payatus.
Príklady osvedčených postupov podľa typov programovacích jazykov
Pretože je webová stránka v angličtine, niektoré si ukážeme príklady bezpečného kódovania o rôznych programovacích jazykov, niektoré sú bezplatné a otvorené a iné súkromné a uzavreté, ponúkané uvedenou webovou stránkou pre preskúmať potenciál a kvalitu obsahu naložený.
Okrem toho je dôležité to zdôrazniť Osvedčené postupy zobrazené na Vývojové platformy nasledujúce:
- . NET
- Jáva
- Java pre Android
- kotlín
- NodeJS
- Cieľ C
- PHP
- Pytón
- rubín
- Rýchly
- WordPress
Sú rozdelené do nasledujúcich kategórií pre stolové jazyky:
- A1 - Injekcia (Injekcia)
- A2 - Overenie je nefunkčné (Nefunkčné overenie)
- A3 - Vystavenie citlivých údajov (Expozícia citlivých údajov)
- A4 - Externé entity XML (Externé entity XML / XXE)
- A5 - Chybná kontrola prístupu (Zlomená kontrola prístupu)
- A6 - Dekonfigurácia bezpečnosti (Nesprávna konfigurácia zabezpečenia)
- A7 - Cross Site Scripting (Skriptovanie medzi webmi / XSS)
- A8 - Neistá deserializácia (Neistá deserializácia)
- A9 - Používanie komponentov so známymi chybami zabezpečenia (Používanie komponentov so známymi chybami zabezpečenia)
- A10 - Nedostatočná registrácia a dohľad (Nedostatočné protokolovanie a monitorovanie)
A tiež rozdelené do nasledujúcich kategórií pre mobilné jazyky:
- M1 - Nesprávne použitie platformy (Nesprávne použitie platformy)
- M2 - nezabezpečené úložisko údajov (Nezabezpečené ukladanie údajov)
- M3 - nezabezpečená komunikácia (Neistá komunikácia)
- M4 - nezabezpečené overenie (Nezabezpečené overenie)
- M5 - nedostatočná kryptografia (Nedostatočná kryptografia)
- M6 - nebezpečné povolenie (Nezabezpečené povolenie)
- M7 - Kvalita kódu zákazníka (Kvalita klientskeho kódu)
- M8 - Manipulácia s kódom (Neoprávnená manipulácia s kódom)
- M9 - Reverzné inžinierstvo (Reverzné inžinierstvo)
- M10 - Zvláštna funkčnosť (Mimoriadna funkčnosť)
Príklad 1: .Net (A1 - vstrekovanie)
Najúčinnejším spôsobom, ako čeliť zraniteľnosti vstrekovaním SQL, je použitie objektovo-relačného mapovača (ORM) alebo uložených procedúr.
Príklad 2: Java (A2 - autentifikácia nefunkčná)
Kedykoľvek je to možné, implementujte viacfaktorovú autentizáciu, aby ste zabránili automatizovanému plneniu údajov, hrubej sile a opätovnému použitiu útokov na odcudzené údaje.
Príklad 3: Java pre Android (M3 - nezabezpečená komunikácia)
Je nevyhnutné použiť SSL / TLS na transportné kanály používané mobilnou aplikáciou na prenos citlivých informácií, tokenov relácií alebo iných citlivých údajov do rozhrania API alebo webovej služby typu back-end.
Príklad 4: Kotlin (M4 - nezabezpečené overenie)
Vyhýbajte sa slabým vzorom
Príklad 5: NodeJS (A5 - Bad Access Control)
Riadenie prístupu k modelu by malo skôr vynucovať vlastníctvo záznamov, ako by malo umožňovať používateľovi vytvárať, čítať, aktualizovať alebo mazať akýkoľvek záznam.
Príklad 6: Cieľ C (M6 - autorizácia nezabezpečená)
Aplikácie by sa nemali vyhýbať použitiu hádateľných čísel ako identifikačných údajov.
Príklad 7: PHP (A7 - skriptovanie medzi servermi)
Všetky špeciálne znaky kódujte pomocou htmlspecialchars () alebo htmlentities () [ak je v značkách html].
Príklad 8: Python (A8 - nezabezpečená deserializácia)
Modul nálevu a jsonpickle nie je bezpečný, nikdy ho nepoužívajte na deserializáciu nedôveryhodných údajov.
Príklad 9: Python (A9 - použitie komponentov so známymi chybami zabezpečenia)
Spustite aplikáciu s najmenej privilegovaným používateľom
Príklad 10: Swift (M10 - zvláštna funkčnosť)
Odstráňte skrytú funkčnosť zadných vrátok alebo iné interné ovládacie prvky zabezpečenia vývoja, ktoré nie sú určené na uvoľnenie v produkčnom prostredí.
Príklad 11: WordPress (zakázanie XML-RPC)
XML-RPC je funkcia WordPress, ktorá umožňuje prenos dát medzi WordPress a inými systémami. Dnes ho vo veľkej miere nahradilo rozhranie REST API, je však stále zahrnuté v inštaláciách kvôli spätnej kompatibilite. Ak je to vo WordPress povolené, útočník môže okrem iného vykonávať útoky hrubou silou, pingback (SSRF).
Záver
V to dufame "užitočný malý príspevok" o volanom webe «Secure Code Wiki»
, ktorý ponúka hodnotný obsah súvisiaci s «Osvedčené postupy bezpečného kódovania »; je veľmi zaujímavý a užitočný pre celú spoločnosť «Comunidad de Software Libre y Código Abierto»
a veľmi prispieva k rozšíreniu nádherného, gigantického a rastúceho ekosystému aplikácií systému «GNU/Linux»
.
Zatiaľ sa vám to páčilo publicación
, Nezastavuj zdieľať to s ostatnými na svojich obľúbených webových stránkach, kanáloch, skupinách alebo komunitách sociálnych sietí alebo systémov správ, najlepšie bezplatných, otvorených a / alebo bezpečnejších ako telegram, Signálu, Mastodon alebo iný z Fediverse, prednostne.
A nezabudnite navštíviť našu domovskú stránku na adrese «DesdeLinux» preskúmať viac noviniek a tiež sa pripojiť k nášmu oficiálnemu kanálu Telegram z DesdeLinux. Zatiaľ čo pre viac informácií môžete navštíviť ktorúkoľvek z nich Online knižnica ako OpenLibra y jedit, prístup a čítanie digitálnych kníh (PDF) o tejto téme alebo iných.
Zaujímavý článok, mal by byť povinný pre každého vývojára ..