共计 2215 个字符,预计需要花费 6 分钟才能阅读完成。
在之前的文章中,咱们一起解读了 2021 年数据老本报告。依据 IBM 和 Ponemon Institute 2021 年的报告,寰球均匀数据泄露老本约为 424 万美元。为了升高数据泄露造成的老本,企业能够通过多种形式积极主动地爱护数据安全。而平安编码(Secure Coding)自身不须要任何老本,这是企业可能且该当采纳的一种安全措施。
通过进步对不良编码习惯(Bad Coding Habits)的认知,企业能够开始被动关注代码的完整性。
什么是平安编码?
平安编码通过对编写代码过程的严格把控,来被动应答潜在的安全漏洞。然而平安编码不仅仅只是编写好代码,而是在平安的环境中,在平安的平台上进行开发。当然在云计算时代,平台和软件等服务都须要正确配置。
为什么平安编码很重要?
不难理解,不平安的编码会造成平安危险,尤其是数据泄露危险。当企业面临重大安全漏洞时,他们并不会总是披露安全漏洞的性质。这是因为即便企业晓得是什么起因造成的,并且及时修复了破绽,然而对于这些破绽修复信息对于潜在的歹意攻击者来说依然具备很高的参考价值。
数据泄露可能是最可怕且代价最大的安全漏洞。在 IBM 和 Ponemon Institute 的钻研中,44% 的泄露事件中蕴含了客户个人身份信息(Personal Identifiable Information, PII)。每条客户 PII 记录的均匀老本高达 180 美元。因而企业须要增强平安协定,而平安编码是这些平安协定的外围。换句话来说,如果没有平安编码,所有平安协定都无奈爱护企业最有价值的资产。
5 大不良编码习惯
本文咱们将着重解说开发人员在从业晚期的一些不良编码习惯行为,这些行为如果不进行及时纠正和管制,可能会造成重大的平安为题。因而,企业须要确保所有开发人员对这些不良 coding 行为和习惯有明确的认知,并学习如何防止这些行为呈现在开发过程中。
1. 未查看复制的代码
有时开发须要一些外围性能,而正好有其余的开发人员曾经对此进行屡次编码,这时复制代码是一个省时省力的动作。
理解你所复制的代码,就好比查看共事的代码一样,请确保在复制代码前曾经通读并充沛了解。永远不要自觉置信互联网上的某个人公开的代码,切记检查和核实。
尽可能应用库(library)。在某种程度上,应用库要比复制代码更保险一些。当然开发人员也须要依据本身需要来决定。如果须要一些字符串解决性能,那么应用对应的解决字符串的库可能对我的项目来说是一个很好的补充。而如果只须要一个函数,那么简略的复制可能比应用整个库更加便捷。
2. 已弃用、废除和可疑的库
在已弃用、废除和可疑的库中有很多不良代码。有时开源代码在未经社区适当审查的状况下被打包到库中,而这可能导致代码中存在安全漏洞。这些安全漏洞没有人违心去被动辨认,更不用说去修复了。
因而,应用库时肯定要确保这些库时受信赖的企业或大量开发人员宽泛应用和监控的库,这些库可能失去保护和定期更新。假如这个库十年没有更新,那么开发人员首先要思考是否持续应用该库,或者在将其合并到我的项目之前先查看整个代码库。切忌自觉置信和应用。
3. 不受限制的存储库拜访
在当今开发环境中,大家偏向于置信开发人员能够不受限制拜访源代码的存储库,然而这存在重大安全漏洞。因为开发人员并不需要拜访所有的内容,他们只须要拜访正在解决的代码区域,有时甚至都不须要编写权限。
尽管拜访受限会升高开发速度,但却能帮忙企业放弃代码的互不依赖性和模块化。如果开发人员只能对他们正在开发的模块进行更改,被迫和我的项目的其余局部放弃拆散,即便不思考安全性,这也是一件对企业无利的事。
无法访问整个源代码的员工,无论是出于歹意或无心,对企业造成的侵害是十分无限的,因而能进步企业零碎和代码的安全性。当然即使在受限拜访的策略之下,IT 部门也必须在开发人员来到企业后及时撤销起对源代码存储库的拜访权限。
4. 硬编码密钥(Hardcoded Secret)
Secret 是提供应用程序到应用程序(application-to-application)拜访的在线凭据。它能够是 API 密钥、云凭据、加密密钥、数据库拜访详细信息等。欠缺教训的开发人员会在代码中应用纯文本密钥进行初始开发,这是一种常见的做法。然而随着开发的进行,这些 secret 会被遗记并留在那里,从而导致泄露危险。托管在 GitHub 等公共云服务上的源代码很容易被歹意攻击者利用。因而,开发人员在代码上传到云之前须要先扫描其中是否蕴含脱漏的 secret。
即便源代码从未公开,大多数编译后的代码也能够进行逆向工程。代码混同(Source code obfuscation)能够帮忙减少逆向工程编译代码的难度。不过,正确保存密钥才是避免泄露的最好形式哦!
5. 谬误提醒中裸露信息
通过参考具体的谬误提醒来调试代码是开发人员的日常。但这些谬误提醒可能为歹意攻击者的提供参考信息。因而,谬误提醒须要对用户有所帮忙,但同时也要留神不能提供任何无关代码如何运行的任何信息!暗藏无关代码构造、数据结构和与其他软件连贯的信息。与此同时,请确保及时发现和解决异样。
总 结
通过理解这些不良编码习惯以及如何养成更好的习惯,企业就可能开发更平安的代码。有了对不当的编码行为的认知,企业能够开始试着留神开发人员目前的开发习惯,并记录下来一些可能导致平安问题的行为,与开发团队一起探讨并寻找解决方案。如果开发团队的成员都有着良好的开发习惯,那么企业的代码平安将会回升到一个新的高度。