Wiki Code Secure: Një rrjet i praktikave të mira të kodimit të sigurt

Wiki Code Secure: Një rrjet i praktikave të mira të kodimit të sigurt

Për avancimin e Njohuri dhe Edukim, Dhe Shkencë dhe Teknologji Në përgjithësi, gjithmonë ka qenë me rëndësi të madhe zbatimi i veprime më të mira dhe më efektive, masat ose rekomandimet (Praktikat e mira) për të arritur qëllimin përfundimtar të, të realizojë ndonjë aktivitet ose proces.

Dhe Programimi ose Zhvillimi i softverit Si çdo IT dhe aktivitet tjetër profesional, ajo ka të vetën "Praktikat e mira" shoqërohet me shumë sfera, veçanërisht ato që lidhen me Siguria kibernetike të produkteve softuer të prodhuar. Dhe në këtë postim do të paraqesim disa «Praktikat e mira të kodimit të sigurt », nga një faqe interesante dhe e dobishme e quajtur "Wiki i kodit të sigurt", aq shumë për Platformat e Zhvillimit e lirë dhe e hapur, si private dhe e mbyllur.

Licencat për zhvillimin e Softuerit të Lirë dhe të Hapur: Praktikat e mira

Para se të futemi në temë, si zakonisht, do të lëmë më vonë disa lidhje me botimet e mëparshme në lidhje me temën e «Praktikat e mira në programim ose zhvillim të softuerit ».

"Practices Praktikat e mira të konceptuara dhe shpërndara nga "Kodi për Iniciativën e Zhvillimit" të Bankës Ndër-Amerikane të Zhvillimit, në fushën e Softuer licence, e cila duhet të merret kur zhvilloni produkte softuerësh (mjete dixhitale), veçanërisht falas dhe të hapura." Licencat për zhvillimin e Softuerit të Lirë dhe të Hapur: Praktikat e mira

Artikulli i lidhur:

Licencat për zhvillimin e Softuerit të Lirë dhe të Hapur: Praktikat e mira

Artikulli i lidhur:

Cilësia teknike: Praktikat e mira në zhvillimin e Softuerit të Lirë

Artikulli i lidhur:

Praktikat e mira për të zhvilluar një softuer të lirë dhe të hapur: Dokumentacioni

Wiki Code Secure: Praktikat e mira të kodimit të sigurt

Çfarë është Secure Code Wiki?

Si e saj faqe:

"Secure Code Wiki është një kulm i praktikave të sigurta të kodimit për një gamë të gjerë gjuhësh."

Dhe ju jeni praktika të mira dhe faqen e internetit të "Wiki i kodit të sigurt" janë krijuar dhe mirëmbajtur nga një organizatë indiane e quajtur Pajatu.

Shembuj të praktikave të mira sipas llojeve të gjuhëve programuese

Meqenëse, faqja në internet është në anglisht, ne do të tregojmë disa shembuj të kodimit të sigurt rreth të ndryshme gjuhë programimi, disa falas dhe të hapur, dhe të tjerët privatë dhe të mbyllur, të ofruara nga uebfaqja e përmendur për të eksploroni potencialin dhe cilësinë e përmbajtjes i ngarkuar.

Përveç kësaj, është e rëndësishme të theksohet kjo Praktikat e mira shfaqet në Platformat e Zhvillimit në vijim:

• . NET
• Java
• Java për Android
• Kotlin
• NodeJS
• Objektivi C
• PHP
• Piton
• rubin
• I shpejtë
• WordPress

Ato ndahen në kategoritë e mëposhtme për gjuhët e tavolinës:

• A1 - Injeksion (Injeksion)
• A2 - Vërtetimi është prishur (Vërtetim i thyer)
• A3 - Ekspozimi i të dhënave të ndjeshme (Ekspozimi i ndjeshëm i të dhënave)
• A4 - Njësitë e Jashtme XML (Njësitë e Jashtme XML / XXE)
• A5 - Kontroll i gabuar i hyrjes (Kontroll i thyer i aksesit)
• A6 - Dekonfigurimi i sigurisë (Konfigurimi i gabuar i sigurisë)
• A7 - Shkrimet e kryqëzuara (Skriptimi ndër-faqesh / XSS)
• A8 - Deserializimi i pasigurt (Deserializimi i pasigurt)
• A9 - Përdorimi i përbërësve me dobësi të njohura (Përdorimi i përbërësve me dobësi të njohura)
• A10 - Regjistrim dhe mbikëqyrje e pamjaftueshme (Regjistrim dhe Monitorim i pamjaftueshëm)

Dhe gjithashtu i ndarë në kategoritë e mëposhtme për Gjuhët Mobile:

• M1 - Përdorimi jo i duhur i platformës (Përdorimi i papërshtatshëm i platformës)
• M2 - Ruajtja e të dhënave të pasigurta (Ruajtja e të dhënave të pasigurta)
• M3 - Komunikim i pasigurt (Komunikim i pasigurt)
• M4 - Vërtetimi i pasigurt (Vërtetimi i pasigurt)
• M5 - Kriptografi e pamjaftueshme (Kriptografi e pamjaftueshme)
• M6 - Autorizim i pasigurt (Autorizimi i pasigurt)
• M7 - Cilësia e kodit të klientit (Cilësia e Kodit të Klientit)
• M8 - Manipulimi i kodit (Shkatërrimi i Kodit)
• M9 - Inxhinieri e Kundërt (Inxhinieri e kundërt)
• M10 - Funksionalitet i çuditshëm (Funksionaliteti i Jashtëm)

Shembulli 1: .Net (A1- Injeksion)

Përdorimi i një hartuesi relaksues të objektit (ORM) ose procedurave të ruajtura është mënyra më efikase për të kundërshtuar cenueshmërinë e injektimit SQL.

Shembulli 2: Java (A2 - Vërtetimi është prishur)

Kur është e mundur, zbatoni vërtetimin me shumë faktorë për të parandaluar mbushjen automatike, të kredencialeve, forcën e egër dhe sulmet e ripërdorimit të kredencialeve të vjedhura.

Shembulli 3: Java për Android (M3 - Komunikim i pasigurt)

Shtë e domosdoshme të zbatohet SSL / TLS në kanalet e transportit të përdorura nga aplikacioni celular për të transmetuar informacione të ndjeshme, shenja të seancave ose të dhëna të tjera të ndjeshme në një API të prapambetur ose në shërbimin e internetit.

Shembulli 4: Kotlin (M4 - Vërtetim i Pasigurt)

Shmangni modelet e dobëta

Shembulli 5: NodeJS (A5 - Kontroll i keq i hyrjes)

Kontrollet e hyrjes së modelit duhet të zbatojnë pronësinë e rekordeve, në vend që të lejojnë përdoruesin të krijojë, lexojë, azhurnojë ose fshijë ndonjë rekord.

Shembulli 6: Objektivi C (M6 - Autorizimi i pasigurt)

Aplikimet duhet të shmangin përdorimin e numrave me mend si një referencë identifikuese.

Shembulli 7: PHP (A7 - Shkrimet e kryqëzuara)

Kodifikoni të gjitha karakteret speciale duke përdorur html speciale () ose htmlentities () [nëse është brenda etiketave html].

Shembulli 8: Python (A8 - Deserializimi i pasigurt)

Moduli i turshisë dhe jsonpickle nuk është i sigurt, mos e përdorni kurrë për të deserializuar të dhëna të pabesueshme.

Shembulli 9: Python (A9 - Përdorimi i përbërësve me dobësi të njohura)

Drejtoni aplikacionin me përdoruesin më pak të privilegjuar

Shembulli 10: Swift (M10 - Funksionim i çuditshëm)

Hiqni funksionalitetin e fshehur të prapme ose kontrolle të tjera të brendshme të sigurisë së zhvillimit që nuk synojnë të lëshohen në një mjedis prodhimi.

Shembulli 11: WordPress (Çaktivizo XML-RPC)

XML-RPC është një veçori e WordPress që lejon transferimin e të dhënave midis WordPress dhe sistemeve të tjera. Sot ajo është zëvendësuar kryesisht nga REST API, por përsëri është përfshirë në instalimet për pajtueshmëri prapa. Nëse aktivizohet në WordPress, një sulmues mund të kryejë sulme me forcë brutale, sulm pingback (SSRF), ndër të tjera.

Përfundim

Ne shpresojmë që kjo "post i dobishëm i vogël" në lidhje me faqen e internetit të quajtur «Secure Code Wiki», e cila ofron përmbajtje të vlefshme në lidhje me «Praktikat e mira të kodimit të sigurt »; është me interes dhe dobi të madhe, për të gjithë «Comunidad de Software Libre y Código Abierto» dhe me një kontribut të madh në përhapjen e ekosistemit të mrekullueshëm, gjigant dhe në rritje të zbatimeve të «GNU/Linux».

Tani për tani, nëse ju pëlqeu kjo publicación, Mos u ndal ndajnë atë me të tjerët, në faqet e internetit, kanalet, grupet ose komunitetet tuaja të preferuara të rrjeteve sociale ose sistemeve të mesazheve, mundësisht falas, të hapur dhe / ose më të sigurt si Telegram, Sinjal, Mastodont ose një tjetër i Gjithësia, mundësisht.

Dhe mos harroni të vizitoni faqen tonë në «DesdeLinux» për të eksploruar më shumë lajme, si dhe për t'u bashkuar me kanalin tonë zyrtar të Telegrami i DesdeLinux. Ndërsa, për më shumë informacion, mund të vizitoni cilindo Biblioteka online si OpenLibra y jedit, për të hyrë dhe lexuar libra dixhitalë (PDF) mbi këtë temë ose të tjera.