Безпечний код Wiki: Мережа передових практик безпечного кодування
Для просування Знання та освітаІ Наука і технології Загалом, завжди було надзвичайно важливим впровадження кращі та ефективніші дії, заходи або рекомендації (Належна практика) досягти кінцевої мети, довести до кінця будь-яка діяльність або процес.
І це програмування або Розробка програмного забезпечення Як і будь-яка інша ІТ та професійна діяльність, вона має свою "Передові практики" пов'язані з багатьма сферами, особливо пов'язаними з Кібербезпека вироблених програмних продуктів. І в цій публікації ми представимо деякі «Хороша безпечна практика кодування », з цікавого та корисного веб-сайту під назвою "Захищений код Wiki", стільки про Платформи розвитку вільні та відкриті, як приватні, так і закриті.
Ліцензії на розробку вільного та відкритого програмного забезпечення: передові практики
Перш ніж входити в тему, як зазвичай, ми залишимо згодом кілька посилань на попередні публікації, що стосуються теми «Передові практики програмування або розробки програмного забезпечення ».
"... Хороша практика, задумана та розповсюджена "Кодекс ініціативи розвитку" Міжамериканського банку розвитку, про сферу діяльності Ліцензійне програмне забезпечення, які необхідно брати під час розробки програмних продуктів (цифрових інструментів), особливо безкоштовних та відкритих." Ліцензії на розробку вільного та відкритого програмного забезпечення: передові практики
Безпечний код Wiki: Хороша практика безпечного кодування
Що таке захищений код Wiki?
Як сказано в його тексті сайт:
"Безпечний код Wiki - це кульмінація безпечних практик кодування для широкого кола мов."
І ви передового досвіду та веб-сайт "Захищений код Wiki" були створені та підтримуються індійською організацією Паяту.
Приклади найкращих практик за типами мов програмування
Оскільки веб-сайт англійською, ми покажемо деякі приклади безпечного кодування про різні мови програмування, деякі безкоштовні та відкриті, а інші приватні та закриті, пропоновані зазначеним веб-сайтом для дослідити потенціал та якість вмісту завантажений.
Крім того, важливо це виділити Передові практики відображається на Платформи розвитку наступне:
- . NET
- Java
- Java для Android
- Котлін
- NodeJS
- Завдання C
- PHP
- Python
- рубін
- Швидко
- WordPress
Вони розділені на наступні категорії для настільних мов:
- А1 - ін'єкція (Ін'єкція)
- A2 - Автентифікація порушена (Порушена автентифікація)
- A3 - Експозиція конфіденційних даних (Експозиція чутливих даних)
- A4 - Зовнішні організації XML (Зовнішні організації XML / XXE)
- A5 - Несправний контроль доступу (Порушений контроль доступу)
- A6 - Деконфігурація безпеки (Неправильна конфігурація безпеки)
- A7 - Сценарії між сайтами (Міжсайтові сценарії / XSS)
- A8 - Небезпечна десериалізація (Небезпечна десериалізація)
- A9 - Використання компонентів із відомими вразливими місцями (Використання компонентів із відомими вразливими місцями)
- A10 - Недостатня реєстрація та нагляд (Недостатня реєстрація та моніторинг)
А також поділено на наступні категорії для мобільних мов:
- M1 - Неправильне використання платформи (Неправильне використання платформи)
- M2 - Небезпечне зберігання даних (Небезпечне зберігання даних)
- M3 - Небезпечний зв'язок (Небезпечне спілкування)
- M4 - Небезпечна автентифікація (Небезпечна автентифікація)
- M5 - недостатня криптографія (Недостатня криптографія)
- M6 - Небезпечний дозвіл (Небезпечне авторизація)
- M7 - Якість коду клієнта (Якість коду клієнта)
- M8 - Маніпулювання кодом (Втручання коду)
- M9 - Зворотна інженерія (Зворотна інженерія)
- M10 - дивна функціональність (Сторонні функції)
Приклад 1: .Net (A1- ін'єкція)
Використання об'єктного реляційного картографа (ORM) або збережених процедур є найефективнішим способом протидії вразливості ін'єкції SQL.
Приклад 2: Java (A2 - автентифікація порушена)
По можливості впроваджуйте багатофакторну автентифікацію, щоб запобігти автоматизованому заповненню облікових даних, грубому застосуванню та повторному використанню атак на викрадені облікові дані.
Приклад 3: Java для Android (M3 - Небезпечний зв’язок)
Обов’язково застосовувати SSL / TLS до транспортних каналів, що використовуються мобільним додатком для передачі конфіденційної інформації, маркерів сеансів або інших конфіденційних даних до серверного API або веб-служби.
Приклад 4: Котлін (M4 - Небезпечна автентифікація)
Уникайте слабких зразків
Приклад 5: NodeJS (A5 - Поганий контроль доступу)
Елементи керування доступом моделі повинні забезпечувати право власності на записи, а не дозволяти користувачеві створювати, читати, оновлювати або видаляти будь-які записи.
Приклад 6: Завдання C (M6 - Авторизація небезпечна)
Програми повинні уникати використання вгаданих цифр як ідентифікаційного посилання.
Приклад 7: PHP (A7 - Сценарії між сайтами)
Кодуйте всі спеціальні символи за допомогою htmlspecialchars () або htmlentities () [якщо він знаходиться в тегах html].
Приклад 8: Python (A8 - Небезпечна десеріалізація)
Модуль pickle та jsonpickle не є безпечним, ніколи не використовуйте його для десериалізації ненадійних даних.
Приклад 9: Python (A9 - Використання компонентів з відомими вразливостями)
Запустіть програму з найменш привілейованим користувачем
Приклад 10: Swift (M10 - дивна функціональність)
Видаліть приховані бэкдор-функціональні можливості або інші внутрішні засоби управління безпекою розробки, які не призначені для випуску у виробничому середовищі.
Приклад 11: WordPress (XML-RPC вимкнено)
XML-RPC - це функція WordPress, яка дозволяє передавати дані між WordPress та іншими системами. Сьогодні він значною мірою замінений REST API, але все ще входить до інсталяцій для зворотної сумісності. Якщо увімкнено в WordPress, зловмисник може виконувати грубу силу, атаки pingback (SSRF), серед іншого.
Висновок
Ми сподіваємось на це "корисний маленький пост" про веб-сайт називається «Secure Code Wiki», який пропонує цінний вміст, пов’язаний з «Хороша безпечна практика кодування »; представляє великий інтерес та корисність для цілого «Comunidad de Software Libre y Código Abierto» і великий внесок у розповсюдження чудової, гігантської та зростаючої екосистеми програм «GNU/Linux».
Поки що, якщо вам це сподобалось publicación, Не зупиняйся поділитися ним з іншими, на ваших улюблених веб-сайтах, каналах, групах або спільнотах соціальних мереж або систем обміну повідомленнями, бажано безкоштовно, відкрито та / або більш безпечно, як Telegram, Сигнал, Мастодонт або інший з Fediverse, бажано.
І не забудьте відвідати нашу домашню сторінку за адресою «DesdeLinux» вивчати більше новин, а також приєднуватися до нашого офіційного каналу Телеграма о DesdeLinux. Хоча для отримання додаткової інформації ви можете відвідати будь-яку Інтернет-бібліотека як OpenLibra y jedit, для доступу та читання цифрових книг (PDF) на цю тему чи інших.
Цікава стаття, вона повинна бути обов’язковою для кожного розробника ..