Wiki o varni kodi: splet dobrih praks varnega kodiranja

Linux Post Install

6 minut

Wiki o varni kodi: splet dobrih praks varnega kodiranja

Wiki o varni kodi: splet dobrih praks varnega kodiranja

Za napredek Znanje in izobraževanje, in Znanost in tehnologija Na splošno je bilo vedno zelo pomembno, da se izvaja boljše in učinkovitejše ukrepe, ukrepi ali priporočila (Dobre prakse) doseči končni cilj, uresničiti katero koli dejavnost ali postopek.

in programiranje o el Razvoj programske opreme Kot katera koli druga informacijska in poklicna dejavnost ima tudi ona svojo "Dobre prakse" povezane s številnimi sferami, zlasti tistimi, povezanimi z Spletna varnost proizvedenih programskih izdelkov. In v tej objavi bomo predstavili nekaj «Dobre prakse varnega kodiranja », z zanimive in uporabne spletne strani z imenom "Wiki z varno kodo", toliko o Razvojne platforme brezplačno in odprto, kot zasebno in zaprto.

Licence za razvoj proste in odprte programske opreme: dobre prakse

Licence za razvoj proste in odprte programske opreme: dobre prakse

Preden začnemo s temo, bomo kot ponavadi kasneje pustili nekaj povezav do prejšnjih publikacij, povezanih s temo «Dobre prakse pri programiranju ali razvoju programske opreme ».

"... Dobre prakse, ki jih je zasnoval in razširjal "Koda za razvojno pobudo" Medameriške razvojne banke o obsegu Licenčna programska oprema, ki jih je treba upoštevati pri razvoju programskih izdelkov (digitalnih orodij), zlasti brezplačnih in odprtih." Licence za razvoj proste in odprte programske opreme: dobre prakse

Licence za razvoj proste in odprte programske opreme: dobre prakse
Povezani članek:
Licence za razvoj proste in odprte programske opreme: dobre prakse
 Tehnična kakovost: dobre prakse pri razvoju brezplačne programske opreme
Povezani članek:
Tehnična kakovost: dobre prakse pri razvoju brezplačne programske opreme
 Dokumentacija: Dobre prakse za razvoj brezplačne in odprte programske opreme
Povezani članek:
Dobre prakse za razvoj brezplačne in odprte programske opreme: dokumentacija

Wiki o varni kodi: dobre prakse varnega kodiranja

Wiki o varni kodi: dobre prakse varnega kodiranja

Kaj je Wiki o varni kodi?

Kot svoje stran:

"Wiki o varni kodi je vrhunec varnih praks kodiranja za široko paleto jezikov."

In ste dobre prakse in spletna stran "Wiki z varno kodo" je ustvarila in vzdrževala indijska organizacija z imenom Payatus.

Primeri dobrih praks po vrstah programskih jezikov

Ker je spletno mesto v angleščini, jih bomo prikazali nekaj primeri varnega kodiranja o različnih programski jeziki, nekatere brezplačne in odprte, druge pa zasebne in zaprte, ki jih ponuja omenjena spletna stran za raziskati potencial in kakovost vsebine naložen.

Poleg tega je pomembno to poudariti Dobre prakse prikazano na Razvojne platforme naslednje:

  • NET.
  • Java
  • Java za Android
  • Kotlin
  • NodeJS
  • Cilj C
  • PHP
  • Python
  • Ruby
  • Swift
  • WordPress

Za namizne jezike so razdeljeni v naslednje kategorije:

  • A1 - injekcija (Injekcija)
  • A2 - Preverjanje pristnosti je prekinjeno (Zlomljena overitev)
  • A3 - Izpostavljenost občutljivih podatkov (Izpostavljenost občutljivim podatkom)
  • A4 - XML ​​Zunanje entitete (Zunanje enote XML / XXE)
  • A5 - Napaka nadzora dostopa (Nadzor dostopa prekinjen)
  • A6 - Varnostna dekonfiguracija (Napačna konfiguracija)
  • A7 - Skriptiranje med spletnimi mesti (Skriptiranje med spletnimi mesti / XSS)
  • A8 - Nevarna deserializacija (Negotova deserializacija)
  • A9 - Uporaba komponent z znanimi ranljivostmi (Uporaba komponent z znanimi ranljivostmi)
  • A10 - Nezadostna registracija in nadzor (Nezadostno beleženje in spremljanje)

In tudi razdeljeni v naslednje kategorije za mobilne jezike:

  • M1 - Nepravilna uporaba platforme (Nepravilna uporaba platforme)
  • M2 - Nevarno shranjevanje podatkov (Nevarno shranjevanje podatkov)
  • M3 - Nevarna komunikacija (Negotova komunikacija)
  • M4 - Nevarno preverjanje pristnosti (Negotovo preverjanje pristnosti)
  • M5 - nezadostna kriptografija (Nezadostna kriptografija)
  • M6 - Nevarno pooblastilo (Negotovo pooblastilo)
  • M7 - Kakovost kode stranke (Kakovost kode stranke)
  • M8 - manipulacija s kodo (Spreminjanje kode)
  • M9 - Povratna tehnika (Povratni inženiring)
  • M10 - čudna funkcionalnost (Tuja funkcionalnost)

Primer 1: .Net (A1- Injection)

Uporaba objektnega relacijskega preslikavca (ORM) ali shranjenih postopkov je najučinkovitejši način za boj proti ranljivosti vbrizga SQL.

Primer 2: Java (A2 - avtentikacija prekinjena)

Kjer je le mogoče, izvedite večfaktorsko overjanje, da preprečite avtomatizirano polnjenje poverilnic, surovo silo in ponovno uporabo ukradenih poverilnic.

3. primer: Java za Android (M3 - Nevarna komunikacija)

Nujno je treba SSL / TLS uporabiti za transportne kanale, ki jih mobilna aplikacija uporablja za prenos občutljivih informacij, žetonov sej ali drugih občutljivih podatkov v zaledni API ali spletno storitev.

Primer 4: Kotlin (M4 - Nevarna overitev)

Izogibajte se šibkim vzorcem

Primer 5: NodeJS (A5 - Nadzor slabega dostopa)

Nadzor dostopa v modelu bi moral uveljaviti lastništvo zapisov, namesto da bi dovolil uporabniku, da ustvari, prebere, posodobi ali izbriše kateri koli zapis.

Primer 6: Cilj C (M6 - dovoljenje ni varno)

Aplikacije naj se izogibajo uporabi ugibljivih številk kot identifikacijske reference.

7. primer: PHP (A7 - skriptiranje med spletnimi mesti)

Vse posebne znake kodirajte z uporabo htmlspecialchars () ali htmlentities () [če je znotraj oznak html].

Primer 8: Python (A8 - Nevarna deserializacija)

Modul pickle in jsonpickle ni varen, nikoli ga ne uporabljajte za deserializacijo nezaupljivih podatkov.

Primer 9: Python (A9 - Uporaba komponent z znanimi ranljivostmi)

Zaženite aplikacijo z najmanj privilegiranim uporabnikom

Primer 10: Swift (M10 - čudna funkcionalnost)

Odstranite skrito zakulisno funkcionalnost ali druge notranje varnostne kontrolnike razvoja, ki niso namenjeni izdaji v proizvodnem okolju.

Primer 11: WordPress (XML-RPC onemogočen)

XML-RPC je funkcija WordPress, ki omogoča prenos podatkov med WordPressom in drugimi sistemi. Danes ga je v veliki meri nadomestil API REST, vendar je še vedno vključen v namestitve zaradi združljivosti z nazaj. Če je v WordPressu omogočen, lahko napadalec med drugim izvaja tudi napade s pingback (SSRF).

Splošna slika za zaključke članka

Zaključek

Upamo, da to "koristna majhna objava" o spletni strani z imenom «Secure Code Wiki», ki ponuja dragocene vsebine, povezane z «Dobre prakse varnega kodiranja »; je za celotno zelo zanimivo in uporabno «Comunidad de Software Libre y Código Abierto» in velik prispevek k širjenju čudovitega, velikanskega in rastočega ekosistema aplikacij «GNU/Linux».

Za zdaj, če vam je bilo to všeč publicación, Ne nehaj delite z drugimi na vaših najljubših spletnih mestih, kanalih, skupinah ali skupnostih v družabnih omrežjih ali sistemih za sporočanje, po možnosti brezplačno, odprto in / ali bolj varno kot TelegramSignalMastodon ali drug od Fediverse, po možnosti.

In ne pozabite obiskati naše domače strani na «DesdeLinux» da raziščete več novic in se pridružite našemu uradnemu kanalu Telegram z dne DesdeLinuxZa več informacij pa lahko obiščete katero koli Spletna knjižnica kot OpenLibra y jedit, za dostop in branje digitalnih knjig (PDF) na to temo ali drugih.


Pustite svoj komentar

Vaš e-naslov ne bo objavljen. Obvezna polja so označena z *

*

*

  1. Za podatke odgovoren: Miguel Ángel Gatón
  2. Namen podatkov: Nadzor neželene pošte, upravljanje komentarjev.
  3. Legitimacija: Vaše soglasje
  4. Sporočanje podatkov: Podatki se ne bodo posredovali tretjim osebam, razen po zakonski obveznosti.
  5. Shranjevanje podatkov: Zbirka podatkov, ki jo gosti Occentus Networks (EU)
  6. Pravice: Kadar koli lahko omejite, obnovite in izbrišete svoje podatke.

  1.   luix je dejal
    nazaj 3 let

    Zanimiv članek, obvezen bi moral biti za vsakega razvijalca.

    Odgovori na luix