Ayala Finch Ответов: 3

Мне нужны правила секретного кода, есть ли он у кого-нибудь из вас?

Я хочу написать безопасный код, и я знаю, что есть тона правил. Я попытался найти аккуратный файл, но нашел много правил, которые говорят о проблемах операционной системы secure...
Мне нужен файл, в котором говорится только о безопасности КОД, для кода, который доказал .NET(например, C#).
если у вас есть один, пожалуйста, пришлите его мне!
Большое спасибо.

Что я уже пробовал:

Я попробовал поискать его в гугле,
многие веб-сайты (но, может быть, я не знаю, как искать...).

Richard MacCutchan

Все зависит от того, что вы подразумеваете под "безопасным кодом".

MadMyche

Вам нужно будет предоставить дополнительную информацию о контексте "защищенного кода". Речь идет о пароле общего назначения, 4-или 5-значном PIN-коде, методах шифрования или о чем-то совершенно другом.

Ayala Finch

Я говорю о чем - то общем - паттерне-который может проверить для меня, защищен ли мой код.

3 Ответов

Рейтинг:
1

W∴ Balboos, GHB

Вот некоторые мысли:

Единственный безопасный компьютер-это тот, который не подключен ни к чему другому.

Жесткая проводная связь между системами уже обеспечивает вход и выход - любая машина может скомпрометировать другую. Еще машины? Больше возможностей для вторжения.

Расширьте его до беспроводного, и вы не только столкнетесь с проблемой с любым количеством систем, к которым вы подключены, но и с возможностью перехвата беспроводного трафика.

В качестве простого начала, есть две основные проблемы безопасности:

Вторжение - кто-то может проникнуть в ваши системы и их содержимое
Перехват - кто-то может отслеживать содержимое вашего системного трафика

Есть много способов попытаться уменьшить недостатки, например, зарегистрировать определенные машины и только позволить им иметь доступ к системе и проверять это для каждой транзакции ... но это может быть подделано. Вторжение может быть прямым или вредоносным. Перехват в любом месте на пути передачи.

И, конечно же, возможно скомпрометированное аппаратное обеспечение, такое как недавнее разоблачение чипов китайского производства со встроенной уязвимостью. Ты проиграл еще до того, как начал.

Это бесконечная война, когда появляются новые методы обеспечения безопасности, они становятся мишенями и в конечном итоге уязвимыми.

Richard Deeming

Даже компьютеры с воздушным зазором, которые не подключены ни к чему другому, не являются полностью безопасными. Единственный по-настоящему безопасный компьютер-это тот, который никогда не включается. :)

Рейтинг:
1

Patrice T

Цитата:
Мне нужны правила секретного кода, есть ли он у кого-нибудь из вас?

Правила кодов безопасности не существуют сами по себе, потому что безопасный код не существует сам по себе.
Безопасность существует только против угрозы, и способ защиты фрагмента кода зависит от угрозы.
Простой факт использования C# вместо C или C++ - это уже действие, направленное на защиту кода от утечек памяти.
SQL-инъекция-это еще одна угроза, а решение-другое.
Использование модульного тестирования-это действие безопасности.
угрозы бесконечны.

[Обновление]
C# и .net безопасны от ошибок программиста, таких как управление памятью и утечки.
Я думаю, что ваше главное удовольствие-это ошибки пользователей: решение обычно состоит в том, чтобы проверить каждый пользовательский ввод на такие ограничения, как альфа, число или пустота.
Если вы используете базу данных SQL, защитите ее от "SQL-инъекции"

Ayala Finch

не могли бы вы прислать мне ссылку со списком угроз?
или метириал о безопасном коде от этих угроз?
Спасибо!!!

MadMyche

Почему бы вам не поискать в google комбинацию лучших практик, кодирования и безопасности.

Рейтинг:
0

OriginalGriff

Это очень сложная тема, и нет никакого "аккуратного файла", который охватывает все это, поэтому вам не нужно слишком много думать о том, что вы делаете.

Безопасность-это трудно: потому что то, что кажется безопасной идеей, может оказаться серьезной дырой в безопасности.
Например, как вы храните пароли?
Обычный текст? Нет, очевидно, это проблема безопасности!
Так что шифрование их, очевидно, более безопасно, да?
Нет - это почти так же небезопасно! Почему? Потому что для того, чтобы войти в систему, пользователь (или приложение, которое он использует, что одно и то же) нуждается в ключе дешифрования - что означает, что зашифрованные данные шифруются общедоступным ключом. Что совсем не безопасно.

Это один пример, и относительно тривиальный с известным решением - но "безопасный код" требует рассмотрения всего, что он делает, и есть целые книги, написанные на большинстве отдельных частей безопасной системы, будь то механизм входа в систему, или операционная система, или банковская платежная система.
Нет никакого "краткого руководства", которое охватывает все, потому что это огромная, сложная тема, которая сильно взаимозависима.

Начните думать о том, что вы делаете, а затем ищите книги, освещающие аспекты безопасности этого. Или лучше нанять кого-то, у кого уже есть доказанный послужной список в этом, а затем прочитать книги, чтобы вы могли начать следить за тем, почему он делает все так, как он делает!