Secure Code Wiki: Güvenli kodlama iyi uygulamaları ağı

Linux Post Install

6 minutos

Secure Code Wiki: Güvenli kodlama iyi uygulamaları ağı

Secure Code Wiki: Güvenli kodlama iyi uygulamaları ağı

İlerlemesi için Bilgi ve EğitimVe Bilim ve Teknoloji Genel olarak, uygulama her zaman son derece önemli olmuştur. daha iyi ve daha etkili eylemler, önlemler veya tavsiyeler (İyi uygulamalar) nihai hedefine ulaşmak için, meyve vermek herhangi bir faaliyet veya işlem.

Ve programlama veya Yazılım geliştirme Diğer tüm BT ve profesyonel faaliyetler gibi, kendi "İyi uygulamalar" birçok alanla ilişkili, özellikle ilgili olanlar siber güvenlik Üretilen yazılım ürünlerinin oranı. Ve bu yazıda bazılarını sunacağız «İyi Güvenli Kodlama Uygulamaları », adlı ilginç ve kullanışlı bir web sitesinden "Güvenli Kod Wiki"hakkında çok şey Geliştirme Platformları ücretsiz ve açık, özel ve kapalı olarak.

Özgür ve Açık Yazılımın geliştirilmesi için lisanslar: İyi uygulamalar

Özgür ve Açık Yazılımın geliştirilmesi için lisanslar: İyi uygulamalar

Konuya girmeden önce, her zamanki gibi, daha sonra konuyla ilgili önceki yayınlara bazı bağlantılar bırakacağız. «Programlama veya Yazılım Geliştirmede İyi Uygulamalar ».

"... tarafından tasarlanan ve yaygınlaştırılan iyi uygulamalar "Geliştirme Girişimi Kodubaşlıklı bir kılavuz yayınladı Inter-American Development Bank'ın Lisans Yazılımıyazılım ürünleri (dijital araçlar) geliştirirken, özellikle ücretsiz ve açık olarak alınması gereken.başlıklı bir kılavuz yayınladı Özgür ve Açık Yazılımın geliştirilmesi için lisanslar: İyi uygulamalar

Özgür ve Açık Yazılımın geliştirilmesi için lisanslar: İyi uygulamalar
İlgili makale:
Özgür ve Açık Yazılımın geliştirilmesi için lisanslar: İyi uygulamalar
 Teknik Kalite: Özgür Yazılımın geliştirilmesinde iyi uygulamalar
İlgili makale:
Teknik Kalite: Özgür Yazılımın geliştirilmesinde iyi uygulamalar
 Belgeler: Ücretsiz ve açık Yazılım geliştirmek için iyi uygulamalar
İlgili makale:
Özgür ve açık Yazılım geliştirmek için iyi uygulamalar: Belgeler

Güvenli Kod Wiki: İyi Güvenli Kodlama Uygulamaları

Güvenli Kod Wiki: İyi Güvenli Kodlama Uygulamaları

Güvenli Kod Wiki nedir?

Onun gibi yer:

"Güvenli Kod Wiki, çok çeşitli diller için güvenli kodlama uygulamalarının bir sonucudur.başlıklı bir kılavuz yayınladı

Ve sen iyi uygulama ve web sitesi "Güvenli Kod Wiki" adlı Hintli bir kuruluş tarafından oluşturulmuş ve sürdürülmüştür. payat.

Programlama Dillerinin türlerine göre İyi Uygulama Örnekleri

Web sitesi İngilizce olduğundan, bazılarını göstereceğiz güvenli kodlama örnekleri çeşitli programlama dilleri, bazıları ücretsiz ve açık ve diğerleri özel ve kapalı, söz konusu web sitesi tarafından içeriğin potansiyelini ve kalitesini keşfedin yüklendi.

Ek olarak, şunu vurgulamak önemlidir: İyi uygulamalar üzerinde görüntülenir Geliştirme Platformları takip etme:

  • . NET
  • Java
  • Android için Java
  • Kotlin
  • NodeJS
  • Amaç C
  • PHP
  • Python
  • Yakut
  • Hızlı
  • WordPress

Masaüstü Dilleri için aşağıdaki kategorilere ayrılırlar:

  • A1 - Enjeksiyon (Enjeksiyon)
  • A2 - Kimlik doğrulama bozuldu (Bozuk Kimlik Doğrulama)
  • A3 - Hassas verilerin açığa çıkması (Hassas Verilerin İfşası)
  • A4 - XML ​​Harici Varlıklar (XML Harici Varlıklar / XXE)
  • A5 - Hatalı erişim kontrolü (Bozuk Erişim Kontrolü)
  • A6 - Güvenlik yapılandırması (Yanlış Güvenlik Yapılandırması)
  • A7 - Siteler Arası Komut Dosyası (Siteler Arası Komut Dosyası / XSS)
  • A8 - Güvenli olmayan seriyi kaldırma (Güvensiz Serileştirme)
  • A9 - Güvenlik açıkları bilinen bileşenlerin kullanımı (Bilinen Güvenlik Açıklarına Sahip Bileşenleri Kullanma)
  • A10 - Yetersiz kayıt ve denetim (Yetersiz Günlük Kaydı ve İzleme)

Ayrıca Mobil Diller için aşağıdaki kategorilere ayrılmıştır:

  • M1 - Platformun yanlış kullanımı (Yanlış Platform Kullanımı)
  • M2 - Güvensiz veri depolama (Güvenli Olmayan Veri Depolama)
  • M3 - Güvensiz iletişim (Güvenli Olmayan İletişim)
  • M4 - Güvenli olmayan kimlik doğrulama (Güvenli Olmayan Kimlik Doğrulama)
  • M5 - Yetersiz şifreleme (Yetersiz Kriptografi)
  • M6 - Güvenli olmayan yetkilendirme (Güvenli Olmayan Yetkilendirme)
  • M7 - Müşteri kodu kalitesi (Müşteri Kodu Kalitesi)
  • M8 - Kod işleme (Kod Değiştirme)
  • M9 - Tersine Mühendislik (Tersine mühendislik)
  • M10 - Garip işlevsellik (Fazladan İşlevsellik)

Örnek 1: .Net (A1- Enjeksiyon)

Bir nesne ilişkisel eşleştiricisi (ORM) veya saklı yordamlar kullanmak, SQL yerleştirme güvenlik açığına karşı koymanın en etkili yoludur.

Örnek 2: Java (A2 - Kimlik doğrulama bozuk)

Mümkün olduğunda, otomatikleştirilmiş kimlik bilgilerini doldurmayı, kaba kuvveti önlemek ve çalınan kimlik bilgilerine yönelik saldırıları yeniden kullanmak için çok faktörlü kimlik doğrulama uygulayın.

Örnek 3: Android İçin Java (M3 - Güvensiz İletişim)

Hassas bilgileri, oturum belirteçlerini veya diğer hassas verileri bir arka uç API'sine veya web hizmetine iletmek için mobil uygulama tarafından kullanılan aktarım kanallarına SSL / TLS uygulanması zorunludur.

Örnek 4: Kotlin (M4 - Güvenli Olmayan Kimlik Doğrulama)

Zayıf kalıplardan kaçının

Örnek 5: NodeJS (A5 - Kötü Erişim Kontrolü)

Modelin erişim kontrolleri, kullanıcının herhangi bir kaydı oluşturmasına, okumasına, güncellemesine veya silmesine izin vermek yerine kayıtların sahipliğini zorunlu kılmalıdır.

Örnek 6: Hedef C (M6 - Yetkilendirme güvensiz)

Uygulamalar, tahmin edilebilir sayıları tanımlayıcı referans olarak kullanmaktan kaçınmalıdır.

Örnek 7: PHP (A7 - Siteler Arası Komut Dosyası)

Tüm özel karakterleri htmlspecialchars () veya htmlentities () [html etiketleri içindeyse] kullanarak kodlayın.

Örnek 8: Python (A8 - Güvensiz Serileştirme)

Turşu ve jsonpickle modülü güvenli değildir, güvenilmeyen verileri seriyi kaldırmak için asla kullanmayın.

Örnek 9: Python (A9 - Bilinen Güvenlik Açıklarına Sahip Bileşenleri Kullanma)

Uygulamayı en az ayrıcalıklı kullanıcıyla çalıştırın

Örnek 10: Swift (M10 - Garip işlevsellik)

Bir üretim ortamında serbest bırakılması amaçlanmayan gizli arka kapı işlevselliğini veya diğer dahili geliştirme güvenlik denetimlerini kaldırın.

Örnek 11: WordPress (XML-RPC Devre Dışı Bırakma)

XML-RPC, WordPress ile diğer sistemler arasında veri aktarımına izin veren bir WordPress özelliğidir. Bugün, büyük ölçüde REST API tarafından yerini almıştır, ancak geriye dönük uyumluluk için hala yüklemelere dahil edilmiştir. WordPress'te etkinleştirilirse, bir saldırgan diğerleri arasında kaba kuvvet, pingback (SSRF) saldırıları gerçekleştirebilir.

Makale sonuçları için genel resim

Sonuç

Bunu umuyoruz "yararlı küçük gönderibaşlıklı bir kılavuz yayınladı aranan web sitesi hakkında «Secure Code Wiki», ile ilgili değerli içerik sunan «İyi Güvenli Kodlama Uygulamaları »; büyük ilgi ve faydalıdır. «Comunidad de Software Libre y Código Abierto» ve harika, devasa ve büyüyen ekosistemin yayılmasına büyük katkı sağlar. «GNU/Linux».

Şimdilik, bunu beğendiyseniz publicación, Durma paylaş başkalarıyla, favori web sitelerinizde, kanallarınızda, gruplarınızda veya sosyal ağların veya mesajlaşma sistemlerinde, tercihen ücretsiz, açık ve / veya daha güvenli  TelegramişaretMastodon veya başka biri Fediversetercihen.

Ve ana sayfamızı ziyaret etmeyi unutmayın: «DesdeLinux» daha fazla haber keşfetmek ve resmi kanalımıza katılmak için Telgrafı DesdeLinuxDaha fazla bilgi için herhangi birini ziyaret edebilirsiniz. Çevrimiçi kitaplık olarak OpenLibra y jedit, bu konudaki dijital kitaplara (PDF'ler) erişmek ve bunları okumak için.


Yorumunuzu bırakın

E-posta hesabınız yayınlanmayacak. Gerekli alanlar ile işaretlenmiştir *

*

*

  1. Verilerden sorumlu: Miguel Ángel Gatón
  2. Verilerin amacı: Kontrol SPAM, yorum yönetimi.
  3. Meşruiyet: Onayınız
  4. Verilerin iletilmesi: Veriler, yasal zorunluluk dışında üçüncü kişilere iletilmeyecektir.
  5. Veri depolama: Occentus Networks (AB) tarafından barındırılan veritabanı
  6. Haklar: Bilgilerinizi istediğiniz zaman sınırlayabilir, kurtarabilir ve silebilirsiniz.

  1.   Luix dijo
    önce 3 yıl

    İlginç bir makale, her geliştirici için zorunlu olmalı ..

    Luix'i yanıtla