Secure Code Wiki: Web osvedčených postupov bezpečného kódovania

Linux Post Install

6 minút

Secure Code Wiki: Web osvedčených postupov bezpečného kódovania

Secure Code Wiki: Web osvedčených postupov bezpečného kódovania

Za pokrok v Vedomosti a vzdelávaniea Veda a technika Všeobecne vždy bolo nanajvýš dôležité implementovať lepšie a efektívnejšie akcie, opatrení alebo odporúčaní (Osvedčené postupy) dosiahnuť konečný cieľ, uskutočniť akejkoľvek činnosti alebo procesu.

A programovanie alebo Vývoj softvéru Ako každá iná profesionálna a IT činnosť má aj svoju vlastnú „Osvedčené postupy“ v mnohých sférach, najmä v tých, ktoré súvisia s Cybersecurity produkovaných softvérových produktov. A v tomto príspevku niektoré predstavíme «Osvedčené postupy bezpečného kódovania », zo zaujímavého a užitočného webu s názvom „Secure Code Wiki“, toľko o Vývojové platformy zadarmo a otvorené, ako súkromné ​​a uzavreté.

Licencie na vývoj slobodného a otvoreného softvéru: Osvedčené postupy

Licencie na vývoj slobodného a otvoreného softvéru: Osvedčené postupy

Predtým, ako sa zvyčajne začneme venovať tejto téme, ponecháme si neskôr odkazy na predchádzajúce publikácie týkajúce sa témy «Osvedčené postupy pri programovaní alebo vývoji softvéru ».

"… Osvedčené postupy vypracované a šírené "Kódex pre rozvojovú iniciatívu" Medziamerickej rozvojovej banky, o rozsahu Licenčný softvér, ktoré by sa mali brať do úvahy pri vývoji softvérových produktov (digitálnych nástrojov), najmä bezplatných a otvorených." Licencie na vývoj slobodného a otvoreného softvéru: Osvedčené postupy

Licencie na vývoj slobodného a otvoreného softvéru: Osvedčené postupy
Súvisiaci článok:
Licencie na vývoj slobodného a otvoreného softvéru: Osvedčené postupy
 Technická kvalita: Osvedčené postupy pri vývoji slobodného softvéru
Súvisiaci článok:
Technická kvalita: Osvedčené postupy pri vývoji slobodného softvéru
 Dokumentácia: Osvedčené postupy na vývoj slobodného a otvoreného softvéru
Súvisiaci článok:
Osvedčené postupy na vývoj slobodného a otvoreného softvéru: Dokumentácia

Secure Code Wiki: Dobré postupy bezpečného kódovania

Secure Code Wiki: Dobré postupy bezpečného kódovania

Čo je Secure Code Wiki?

Ako hovorí jeho text miesto:

"Secure Code Wiki je zavŕšením postupov bezpečného kódovania pre širokú škálu jazykov."

A vy ste osvedčených postupov a webová stránka „Secure Code Wiki“ boli vytvorené a udržiavané indickou organizáciou s názvom Payatus.

Príklady osvedčených postupov podľa typov programovacích jazykov

Pretože je webová stránka v angličtine, niektoré si ukážeme príklady bezpečného kódovania o rôznych programovacích jazykov, niektoré sú bezplatné a otvorené a iné súkromné ​​a uzavreté, ponúkané uvedenou webovou stránkou pre preskúmať potenciál a kvalitu obsahu naložený.

Okrem toho je dôležité to zdôrazniť Osvedčené postupy zobrazené na Vývojové platformy nasledujúce:

  • . NET
  • Jáva
  • Java pre Android
  • kotlín
  • NodeJS
  • Cieľ C
  • PHP
  • Pytón
  • rubín
  • Rýchly
  • WordPress

Sú rozdelené do nasledujúcich kategórií pre stolové jazyky:

  • A1 - Injekcia (Injekcia)
  • A2 - Overenie je nefunkčné (Nefunkčné overenie)
  • A3 - Vystavenie citlivých údajov (Expozícia citlivých údajov)
  • A4 - Externé entity XML (Externé entity XML / XXE)
  • A5 - Chybná kontrola prístupu (Zlomená kontrola prístupu)
  • A6 - Dekonfigurácia bezpečnosti (Nesprávna konfigurácia zabezpečenia)
  • A7 - Cross Site Scripting (Skriptovanie medzi webmi / XSS)
  • A8 - Neistá deserializácia (Neistá deserializácia)
  • A9 - Používanie komponentov so známymi chybami zabezpečenia (Používanie komponentov so známymi chybami zabezpečenia)
  • A10 - Nedostatočná registrácia a dohľad (Nedostatočné protokolovanie a monitorovanie)

A tiež rozdelené do nasledujúcich kategórií pre mobilné jazyky:

  • M1 - Nesprávne použitie platformy (Nesprávne použitie platformy)
  • M2 - nezabezpečené úložisko údajov (Nezabezpečené ukladanie údajov)
  • M3 - nezabezpečená komunikácia (Neistá komunikácia)
  • M4 - nezabezpečené overenie (Nezabezpečené overenie)
  • M5 - nedostatočná kryptografia (Nedostatočná kryptografia)
  • M6 - nebezpečné povolenie (Nezabezpečené povolenie)
  • M7 - Kvalita kódu zákazníka (Kvalita klientskeho kódu)
  • M8 - Manipulácia s kódom (Neoprávnená manipulácia s kódom)
  • M9 - Reverzné inžinierstvo (Reverzné inžinierstvo)
  • M10 - Zvláštna funkčnosť (Mimoriadna funkčnosť)

Príklad 1: .Net (A1 - vstrekovanie)

Najúčinnejším spôsobom, ako čeliť zraniteľnosti vstrekovaním SQL, je použitie objektovo-relačného mapovača (ORM) alebo uložených procedúr.

Príklad 2: Java (A2 - autentifikácia nefunkčná)

Kedykoľvek je to možné, implementujte viacfaktorovú autentizáciu, aby ste zabránili automatizovanému plneniu údajov, hrubej sile a opätovnému použitiu útokov na odcudzené údaje.

Príklad 3: Java pre Android (M3 - nezabezpečená komunikácia)

Je nevyhnutné použiť SSL / TLS na transportné kanály používané mobilnou aplikáciou na prenos citlivých informácií, tokenov relácií alebo iných citlivých údajov do rozhrania API alebo webovej služby typu back-end.

Príklad 4: Kotlin (M4 - nezabezpečené overenie)

Vyhýbajte sa slabým vzorom

Príklad 5: NodeJS (A5 - Bad Access Control)

Riadenie prístupu k modelu by malo skôr vynucovať vlastníctvo záznamov, ako by malo umožňovať používateľovi vytvárať, čítať, aktualizovať alebo mazať akýkoľvek záznam.

Príklad 6: Cieľ C (M6 - autorizácia nezabezpečená)

Aplikácie by sa nemali vyhýbať použitiu hádateľných čísel ako identifikačných údajov.

Príklad 7: PHP (A7 - skriptovanie medzi servermi)

Všetky špeciálne znaky kódujte pomocou htmlspecialchars () alebo htmlentities () [ak je v značkách html].

Príklad 8: Python (A8 - nezabezpečená deserializácia)

Modul nálevu a jsonpickle nie je bezpečný, nikdy ho nepoužívajte na deserializáciu nedôveryhodných údajov.

Príklad 9: Python (A9 - použitie komponentov so známymi chybami zabezpečenia)

Spustite aplikáciu s najmenej privilegovaným používateľom

Príklad 10: Swift (M10 - zvláštna funkčnosť)

Odstráňte skrytú funkčnosť zadných vrátok alebo iné interné ovládacie prvky zabezpečenia vývoja, ktoré nie sú určené na uvoľnenie v produkčnom prostredí.

Príklad 11: WordPress (zakázanie XML-RPC)

XML-RPC je funkcia WordPress, ktorá umožňuje prenos dát medzi WordPress a inými systémami. Dnes ho vo veľkej miere nahradilo rozhranie REST API, je však stále zahrnuté v inštaláciách kvôli spätnej kompatibilite. Ak je to vo WordPress povolené, útočník môže okrem iného vykonávať útoky hrubou silou, pingback (SSRF).

Všeobecný obraz záverov článku

Záver

V to dufame "užitočný malý príspevok" o volanom webe «Secure Code Wiki», ktorý ponúka hodnotný obsah súvisiaci s «Osvedčené postupy bezpečného kódovania »; je veľmi zaujímavý a užitočný pre celú spoločnosť «Comunidad de Software Libre y Código Abierto» a veľmi prispieva k rozšíreniu nádherného, ​​gigantického a rastúceho ekosystému aplikácií systému «GNU/Linux».

Zatiaľ sa vám to páčilo publicación, Nezastavuj zdieľať to s ostatnými na svojich obľúbených webových stránkach, kanáloch, skupinách alebo komunitách sociálnych sietí alebo systémov správ, najlepšie bezplatných, otvorených a / alebo bezpečnejších ako telegramSignáluMastodon alebo iný z Fediverse, prednostne.

A nezabudnite navštíviť našu domovskú stránku na adrese «DesdeLinux» preskúmať viac noviniek a tiež sa pripojiť k nášmu oficiálnemu kanálu Telegram z DesdeLinuxZatiaľ čo pre viac informácií môžete navštíviť ktorúkoľvek z nich Online knižnica ako OpenLibra y jedit, prístup a čítanie digitálnych kníh (PDF) o tejto téme alebo iných.


Zanechajte svoj komentár

Vaša e-mailová adresa nebude zverejnená. Povinné položky sú označené *

*

*

  1. Zodpovedný za údaje: Miguel Ángel Gatón
  2. Účel údajov: Kontrolný SPAM, správa komentárov.
  3. Legitimácia: Váš súhlas
  4. Oznamovanie údajov: Údaje nebudú poskytnuté tretím stranám, iba ak to vyplýva zo zákona.
  5. Ukladanie dát: Databáza hostená spoločnosťou Occentus Networks (EU)
  6. Práva: Svoje údaje môžete kedykoľvek obmedziť, obnoviť a vymazať.

  1.   luix dijo
    hace 3 rokov

    Zaujímavý článok, mal by byť povinný pre každého vývojára ..

    Odpovedať luix