Secure Code Wiki: En webb med säker kodning av god praxis

Linux Post Install

6 minuter

Secure Code Wiki: En webb med säker kodning av god praxis

Secure Code Wiki: En webb med säker kodning av god praxis

För framsteg av Kunskap och utbildning, Och Vetenskap och teknologi I allmänhet har det alltid varit av yttersta vikt att implementera programmet bättre och mer effektiva åtgärder, åtgärder eller rekommendationer (Bra övningar) för att uppnå det slutgiltiga målet, förverkligas någon aktivitet eller process.

Och den programmering eller Mjukvaruutveckling Som alla andra IT- och professionella aktiviteter har den sin egen "Bra övningar" associerade med många sfärer, särskilt de som är relaterade till cyber av de producerade mjukvaruprodukterna. Och i det här inlägget kommer vi att presentera några «Bra säkra kodningsmetoder », från en intressant och användbar webbplats som heter "Wiki för säker kod", så mycket om Utvecklingsplattformar gratis och öppet, som privat och stängt.

Licenser för utveckling av fri och öppen programvara: god praxis

Licenser för utveckling av fri och öppen programvara: god praxis

Innan vi går in i ämnet lämnar vi som vanligt senare några länkar till tidigare publikationer relaterade till ämnet «God praxis inom programmering eller mjukvaruutveckling ».

"... God praxis som bedömts och sprids av "Kod för utvecklingsinitiativ" av den interamerikanska utvecklingsbanken, om omfattningen av Licensprogramvara, som måste tas när man utvecklar programvaruprodukter (digitala verktyg), särskilt gratis och öppen." Licenser för utveckling av fri och öppen programvara: god praxis

Licenser för utveckling av fri och öppen programvara: god praxis
Relaterad artikel:
Licenser för utveckling av fri och öppen programvara: god praxis
 Teknisk kvalitet: God praxis vid utveckling av fri programvara
Relaterad artikel:
Teknisk kvalitet: God praxis vid utveckling av fri programvara
 Dokumentation: God praxis för att utveckla fri och öppen programvara
Relaterad artikel:
God praxis för att utveckla fri och öppen programvara: dokumentation

Secure Code Wiki: Good Secure Coding Practices

Secure Code Wiki: Good Secure Coding Practices

Vad är Secure Code Wiki?

Som dess plats:

"Secure Code Wiki är en kulmination av säkra kodningsmetoder för ett stort antal språk."

Och du är god praxis och webbplatsen för "Wiki för säker kod" har skapats och underhållits av en indisk organisation som kallas Payatus.

Exempel på god praxis efter typer av programmeringsspråk

Eftersom webbplatsen är på engelska kommer vi att visa några exempel på säker kodning om olika programmeringsspråk, några gratis och öppna, och andra privata och stängda, som erbjuds av nämnda webbplats för utforska innehållets potential och kvalitet lastad.

Dessutom är det viktigt att lyfta fram det Bra övningar visas på Utvecklingsplattformar följande:

  • . NET
  • java
  • Java för Android
  • Kotlin
  • NodeJS
  • Mål C
  • PHP
  • Python
  • Rubin
  • Snabb
  • Wordpress

De är indelade i följande kategorier för skrivbordsspråk:

  • A1 - Injektion (Injektion)
  • A2 - Autentisering trasig (Trasig autentisering)
  • A3 - Exponering av känsliga data (Exponering för känslig data)
  • A4 - externa XML-enheter (Externa XML-enheter / XXE)
  • A5 - Felaktig åtkomstkontroll (Trasig åtkomstkontroll)
  • A6 - Avkonfiguration av säkerhet (Felaktig konfiguration av säkerhet)
  • A7 - Skriptning över flera webbplatser (Cross Site Scripting / XSS)
  • A8 - Osäker deserialisering (Osäker deserialisering)
  • A9 - Användning av komponenter med kända sårbarheter (Använda komponenter med kända sårbarheter)
  • A10 - Otillräcklig registrering och tillsyn (Otillräcklig loggning och övervakning)

Och också uppdelad i följande kategorier för mobila språk:

  • M1 - Felaktig användning av plattformen (Felaktig plattformsanvändning)
  • M2 - Osäker datalagring (Osäker datalagring)
  • M3 - Osäker kommunikation (Osäker kommunikation)
  • M4 - Osäker autentisering (Osäker autentisering)
  • M5 - Otillräcklig kryptografi (Otillräcklig kryptografi)
  • M6 - Osäkert tillstånd (Osäker auktorisering)
  • M7 - Kundkodskvalitet (Klientkodskvalitet)
  • M8 - Kodmanipulation (Kod manipulering)
  • M9 - Omvänd teknik (Omvänd teknik)
  • M10 - Konstig funktionalitet (Främmande funktionalitet)

Exempel 1: .Net (A1- Injection)

Att använda en objektrelationskarta (ORM) eller lagrade procedurer är det mest effektiva sättet att motverka sårbarheten för SQL-injektion.

Exempel 2: Java (A2 - Autentisering trasig)

När det är möjligt, implementera autentisering med flera faktorer för att förhindra automatiserad fyllning av referenser, brute force och återanvända attacker mot stulna referenser.

Exempel 3: Java för Android (M3 - osäker kommunikation)

Det är absolut nödvändigt att tillämpa SSL / TLS på transportkanalerna som används av mobilapplikationen för att överföra känslig information, sessionstoken eller annan känslig data till ett backend API eller webbtjänst.

Exempel 4: Kotlin (M4 - Osäker autentisering)

Undvik svaga mönster

Exempel 5: NodeJS (A5 - dålig åtkomstkontroll)

Åtkomstkontrollerna för modellen bör genomdriva äganderätten till posterna, snarare än att tillåta användaren att skapa, läsa, uppdatera eller ta bort alla poster.

Exempel 6: Mål C (M6 - auktorisation osäker)

Applikationer bör undvika att använda gissningsbara nummer som en identifierande referens.

Exempel 7: PHP (A7 - Cross Site Scripting)

Koda alla specialtecken med htmlspecialchars () eller htmlentities () [om det finns inom html-taggar].

Exempel 8: Python (A8 - Osäker deserialisering)

Pickle- och jsonpickle-modulen är inte säker, använd den aldrig för att deserialisera icke betrodda data.

Exempel 9: Python (A9 - Använda komponenter med kända sårbarheter)

Kör applikationen med den minst privilegierade användaren

Exempel 10: Swift (M10 - Konstig funktionalitet)

Ta bort dold bakdörrfunktion eller andra interna säkerhetskontroller för utveckling som inte är avsedda att släppas i en produktionsmiljö.

Exempel 11: WordPress (XML-RPC inaktiverat)

XML-RPC är en WordPress-funktion som möjliggör dataöverföring mellan WordPress och andra system. Idag har den till stor del ersatts av REST API, men det ingår fortfarande i installationen för bakåtkompatibilitet. Om aktiverat i WordPress kan en angripare utföra brute force, pingback (SSRF) attacker, bland andra.

Generisk bild för artikelns slutsatser

Slutsats

Vi hoppas det här "hjälpsamma lilla inlägg" om webbplatsen som heter «Secure Code Wiki», som erbjuder värdefullt innehåll relaterat till «Bra säkra kodningsmetoder »; är av stort intresse och nytta, för hela «Comunidad de Software Libre y Código Abierto» och med stort bidrag till spridningen av det underbara, gigantiska och växande ekosystemet för applikationer av «GNU/Linux».

För nu, om du gillade det här publicación, Sluta inte dela det med andra, på dina favoritwebbplatser, kanaler, grupper eller grupper av sociala nätverk eller meddelandesystem, helst gratis, öppet och / eller säkrare som TelegramSignalMastodon eller en annan av Fediverse, företrädesvis.

Och kom ihåg att besöka vår hemsida på «DesdeLinux» för att utforska fler nyheter, samt gå med i vår officiella kanal Telegram av DesdeLinuxMedan du kan besöka vilken som helst för mer information Online-bibliotek som OpenLibra y jedit, för att komma åt och läsa digitala böcker (PDF-filer) om detta ämne eller andra.


Lämna din kommentar

Din e-postadress kommer inte att publiceras. Obligatoriska fält är markerade med *

*

*

  1. Ansvarig för uppgifterna: Miguel Ángel Gatón
  2. Syftet med uppgifterna: Kontrollera skräppost, kommentarhantering.
  3. Legitimering: Ditt samtycke
  4. Kommunikation av uppgifterna: Uppgifterna kommer inte att kommuniceras till tredje part förutom enligt laglig skyldighet.
  5. Datalagring: databas värd för Occentus Networks (EU)
  6. Rättigheter: När som helst kan du begränsa, återställa och radera din information.

  1.   luix sade
    sedan 3 år

    Intressant artikel, det borde vara obligatoriskt för varje utvecklare ..

    Svara på luix