Рубрика «security pledge»

Каждый день я вижу потенциально уязвимый код. Иногда код настолько уязвим, что любой школьник может поломать его. Я также много общался с программистами, которым стоило бы больше знать об уязвимостях. Это очень, как бы это сказать, удручающе. Это грустно, что средний девелопер знает так мало об обычных практиках безопасности. Так что я собрал здесь маленький манифест.

Я пишу защищенный код, если соблюдаю все эти пункты:

  1. Я не буду хранить чувствительные данные в plain text, я буду защищать их как следует.
  2. Я всегда буду защищать пользовательские данные, как защищал бы свои.
  3. Я всегда буду использовать проверенные и известные алгоритмы, не буду изобретать колесо.
  4. Я буду использовать существующие библиотеки, пока возможно, и буду писать свои только когда нет подходящих альтернатив.
  5. Я всегда буду использовать параметризованные запросы (читай бинды) SQL, я не буду доверять экранированию.
  6. Я буду воспринимать уязвимости серьезно, не буду игнорировать их.
  7. Я должен понимать OWASP топ 10 уязвимостей, и всегда буду защищать свои приложения от них.
  8. Я не буду всегда предполагать, что знаю лучше, но буду постоянно развиваться.
  9. Я не буду доверять безопасность системам, которые самостоятельно не исследовал.
  10. Я всегда буду стараться обучать других.

Читать полностью »

Каждый день я вижу потенциально уязвимый код. Иногда настолько, что любой 10-летний может поломать его. Я также много общался с программистами, которым стоило бы больше знать о хороших практиках защиты от уязвимостей. Это очень удручающе. Это грустно, что средний девелопер знает так мало об обычных практиках безопасности. Так что я собрал здесь маленький манифест.

Я пишу защищенный код, если соблюдаю все эти пункты:

  1. Я не буду хранить чувствительные данные в plain text, я буду защищать их как следует.
  2. Я всегда буду защищать пользовательские данные, как защищал бы свои.
  3. Я всегда буду использовать проверенные и известные алгоритмы, не буду изобретать колесо.
  4. Я буду использовать существующие библиотеки, пока возможно, и буду писать свои только когда нет подходящих альтернатив.
  5. Я всегда буду использовать параметризованные запросы (читай бинды) SQL, я не буду доверять экранированию.
  6. Я буду воспринимать уязвимости серьезно, не буду игнорировать их.
  7. Я должен понимать OWASP топ 10 уязвимостей, и всегда буду защищать свои приложения от них.
  8. Я не буду всегда предполагать, что знаю лучше, но буду постоянно развиваться.
  9. Я не буду доверять безопасность системам, которые самостоятельно не исследовал.
  10. Я всегда буду стараться обучать других.

Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js