Secure Code Wiki: Isang web ng ligtas na mga kasanayan sa pag-coding
Para sa pagsulong ng Kaalaman at Edukasyon, at ang Agham at teknolohiya Sa pangkalahatan, palagi itong naging pinakamahalaga sa pagpapatupad ng mas mahusay at mas mabisang kilos, mga panukala o rekomendasyon (Mga mabubuting Kasanayan) upang makamit ang panghuli layunin ng, magbunga anumang aktibidad o proseso.
At ang Programming o el Pag-unlad ng software Tulad ng anumang iba pang aktibidad na propesyonal at IT, mayroon itong sarili "Mga mabubuting Kasanayan" na nauugnay sa maraming larangan, lalo na sa mga nauugnay sa Cybersecurity ng mga produktong produktong software na ginawa. At sa post na ito magpapakita kami ng ilan «Magandang Mga Kasanayan sa Secure Coding », mula sa isang kawili-wili at kapaki-pakinabang na website na tinawag "Secure Code Wiki", tungkol sa Mga Platform sa Pag-unlad libre at bukas, bilang pribado at sarado.
Mga lisensya para sa pagbuo ng Libre at Bukas na Software: Mahusay na kasanayan
Bago mapunta sa paksa, tulad ng dati, mag-iiwan kami ng ilang mga link sa mga nakaraang publication na nauugnay sa paksa ng «Mahusay na Kasanayan sa Programming o Pag-unlad ng Software ».
"… Mahusay na kasanayan na ipinaglihi at ipinakalat ng "Code for Development Initiative" ng Inter-American Development Bank, sa saklaw ng Software ng Lisensya, na dapat kunin kapag bumubuo ng mga produkto ng software (mga digital na tool), lalo na libre at bukas." Mga lisensya para sa pagbuo ng Libre at Bukas na Software: Mahusay na kasanayan
Secure Code Wiki: Magandang Mga Kasanayan sa Secure Coding
Ano ang Secure Code Wiki?
Tulad ng sinasabi ng teksto nito WebSite:
"Ang Secure Code Wiki ay isang paghantong sa mga ligtas na kasanayan sa pag-coding para sa isang malawak na hanay ng mga wika."
At ikaw ay mahusay na kasanayan at ang website ng "Secure Code Wiki" ay nilikha at pinapanatili ng isang samahang Indian na tinawag Payatus.
Mga halimbawa ng Mahusay na Kasanayan sa pamamagitan ng mga uri ng Mga Wika sa Programming
Dahil, ang website ay nasa Ingles, magpapakita kami ng ilan mga halimbawa ng ligtas na pag-coding tungkol sa iba`t ibang programming languages, ilang libre at bukas, at ang iba ay pribado at sarado, na inaalok ng nasabing website sa galugarin ang potensyal at kalidad ng nilalaman puno.
Bilang karagdagan, mahalagang i-highlight iyon Mga mabubuting Kasanayan ipinakita sa Mga Platform sa Pag-unlad sumusunod:
- . NET
- Java
- Java Para sa Android
- Kotlin
- NodeJS
- Layunin C
- PHP
- Sawa
- Mapula
- matulin
- WordPress
Nahahati sila sa mga sumusunod na kategorya para sa Mga Wika sa Desktop:
- A1 - Iniksyon (Iniksyon)
- A2 - Nasira ang pagpapatotoo (Sirang Authentication)
- A3 - Pagkakalantad ng sensitibong data (Sensitive Exposure ng Data)
- A4 - Mga Panlabas na Entity ng XML (XML Mga Panlabas na Entidad / XXE)
- A5 - Pagkontrol sa pag-access ng hindi tama (Sirang Access Control)
- A6 - Pag-configure ng seguridad (Maling pagsasaayos ng Security)
- A7 - Cross Site Scripting (Cross Site Scripting / XSS)
- A8 - Hindi secure ang deserialization (Insecure Deserialization)
- A9 - Paggamit ng mga bahagi na may kilalang kahinaan (Paggamit ng Mga Component na May Kilalang Kahinaan)
- A10 - Hindi sapat na pagpaparehistro at pangangasiwa (Hindi sapat ang Pag-log at Pagsubaybay)
At nahahati din sa mga sumusunod na kategorya para sa Mga Mobile na Wika:
- M1 - Maling paggamit ng platform (Hindi wastong Paggamit ng Platform)
- M2 - Hindi secure ang pag-iimbak ng data (Hindi Secure na Imbakan ng Data)
- M3 - Hindi secure ang komunikasyon (Hindi secure na Komunikasyon)
- M4 - Di-secure na pagpapatotoo (Hindi secure na Pagpapatotoo)
- M5 - Hindi sapat na cryptography (Hindi sapat na Cryptography)
- M6 - Hindi ligtas na pahintulot (Insecure na Pahintulot)
- M7 - Kalidad ng code ng customer (Kalidad ng Client Code)
- M8 - Pagmanipula ng code (Pag-tamper ng Code)
- M9 - Reverse Engineering (Reverse Engineering)
- M10 - Kakaibang pag-andar (Labis na Pag-andar)
Halimbawa 1: .Net (A1- Iniksyon)
Ang paggamit ng isang object relational mapper (ORM) o nakaimbak na mga pamamaraan ay ang pinaka mabisang paraan upang kontrahin ang kahinaan sa iniksyon ng SQL.
Halimbawa 2: Java (A2 - Nasira ang pagpapatotoo)
Kailanman posible, magpatupad ng pagpapatunay na multi-factor upang maiwasan ang awtomatiko, pagpupuno ng kredensyal, malupit na puwersa, at muling paggamit ng mga pag-atake sa mga ninakaw na kredensyal.
Halimbawa 3: Java For Android (M3 - Insecure Communication)
Kailangang maglapat ng SSL / TLS sa mga channel ng transportasyon na ginagamit ng mobile application upang makapagpadala ng sensitibong impormasyon, mga token ng session o iba pang sensitibong data sa isang backend API o serbisyo sa web.
Halimbawa 4: Kotlin (M4 - Insecure Authentication)
Iwasan ang mahinang mga pattern
Halimbawa 5: NodeJS (A5 - Bad Access Control)
Dapat ipatupad ng mga kontrol sa pag-access ng modelo ang pagmamay-ari ng mga talaan, sa halip na payagan ang gumagamit na lumikha, magbasa, mag-update, o magtanggal ng anumang rekord.
Halimbawa 6: Layunin C (M6 - Walang katiyakan sa Pahintulot)
Dapat iwasan ng mga application ang paggamit ng mga hulaan na bilang bilang isang sanggunian sa pagkilala.
Halimbawa 7: PHP (A7 - Cross Site Scripting)
I-encode ang lahat ng mga espesyal na character gamit ang htmlspecialchars () o htmlentities () [kung nasa loob ng mga html tag].
Halimbawa 8: Python (A8 - Insecure Deserialization)
Ang module ng pag-atsara at jsonpickle ay hindi ligtas, huwag kailanman gamitin ito upang maiwaksi ang hindi mapagkakatiwalaang data.
Halimbawa 9: Python (A9 - Paggamit ng Mga Sangkap na May Kilalang Mga Kakulangan)
Patakbuhin ang application kasama ang hindi gaanong may pribilehiyong gumagamit
Halimbawa 10: Swift (M10 - Kakaibang pag-andar)
Alisin ang mga nakatagong pag-andar sa backdoor o iba pang mga kontrol sa seguridad ng panloob na pag-unlad na hindi inilaan upang mailabas sa isang kapaligiran sa produksyon.
Halimbawa 11: WordPress (Huwag paganahin ang XML-RPC)
Ang XML-RPC ay isang tampok sa WordPress na nagpapahintulot sa paglipat ng data sa pagitan ng WordPress at iba pang mga system. Ngayon ay higit na pinalitan ito ng REST API, ngunit kasama pa rin sa mga pag-install para sa pabalik na pagiging tugma. Kung pinagana sa WordPress, ang isang magsasalakay ay maaaring gumanap ng malupit na puwersa, pag-atake ng pingback (SSRF), bukod sa iba pa.
Konklusyon
Inaasahan namin na ito "kapaki-pakinabang maliit na post" tungkol sa website na tinawag «Secure Code Wiki», na nag-aalok ng mahalagang nilalaman na nauugnay sa «Magandang Mga Kasanayan sa Secure Coding »; ay may malaking interes at utility, para sa kabuuan «Comunidad de Software Libre y Código Abierto» at ng malaking kontribusyon sa pagsasabog ng kamangha-mangha, naglalakihang at lumalaking ecosystem ng mga aplikasyon ng «GNU/Linux».
Sa ngayon, kung nagustuhan mo ito publicación, Huwag kang tumigil ibahagi ito kasama ng iba, sa iyong mga paboritong website, channel, grupo o komunidad ng mga social network o mga sistema ng pagmemensahe, mas mabuti na libre, bukas at / o mas ligtas bilang Telegrama, Senyas, Mastodon o iba pa ng Fediverse, mas mabuti.
At tandaan na bisitahin ang aming home page sa «DesdeLinux» upang galugarin ang higit pang mga balita, pati na rin sumali sa aming opisyal na channel ng Telegram ng DesdeLinux. Habang, para sa karagdagang impormasyon, maaari mong bisitahin ang anumang Online library bilang OpenLibra y jedit, upang ma-access at mabasa ang mga digital na libro (PDF) sa paksang ito o iba pa.
Kagiliw-giliw na artikulo, dapat itong maging sapilitan para sa bawat developer ..