डेवलपर्स के लिए सुरक्षित कोडिंग दिशानिर्देश और सर्वोत्तम अभ्यास

secure coding guidelines

यह ट्यूटोरियल सिक्योर कोडिंग की व्याख्या करता है, सुरक्षा से संबंधित कमजोरियों से कैसे बचा जाए, और सुरक्षित कोडिंग प्रथाओं के लिए कोडिंग दिशानिर्देश और चेकलिस्ट प्रदान करता है:

सॉफ़्टवेयर में सुरक्षा के लिए और सुरक्षित कोडिंग दिशानिर्देशों और सर्वोत्तम व्यवहारों को लागू करने के लिए, टीम के साथ-साथ पूरे संगठन के लिए निर्धारित अनुप्रयोग विकास पर काम करने के लिए कुछ पहलुओं पर विचार करने की आवश्यकता है।

यहां, हम उन पहलुओं पर चर्चा करेंगे जो एक सुरक्षित सॉफ़्टवेयर विकसित करने में मदद करते हैं।

यह उतना ही सरल है जितना कि यदि कोई डेवलपर नहीं जानता है कि इसका मतलब क्या है सॉफ्टवेयर के लिए सुरक्षा ' और एक हैकर उनके सॉफ़्टवेयर को कैसे हैक कर सकता है, इसका नियंत्रण ले सकता है और शोषण करने की कोशिश कर सकता है, फिर सुरक्षित सॉफ़्टवेयर को कोड करना असंभव है। इसलिए, डेवलपर को पहले सुरक्षित कोडिंग का अर्थ समझना चाहिए।

आप क्या सीखेंगे:

• सुरक्षित कोडिंग क्या है?
  • जोखिम से राहत
  • अपर्याप्त सुरक्षा कार्यान्वयन के कारण
• सुरक्षित कोडिंग दिशानिर्देश
  • सुरक्षित कोडिंग के लिए भाषा चयन
  • सुरक्षित कोडिंग नियम और सिफारिशें
  • आम प्रोग्रामिंग त्रुटियों से बचा जा सकता है
• चेक कोड सिक्योर कोड प्रैक्टिस के लिए
  • सुरक्षित कोडिंग चेकलिस्ट का सारणीबद्ध सारांश
• निष्कर्ष
  • अनुशंसित पाठ

सुरक्षित कोडिंग क्या है?

सुरक्षित कोडिंग द्वारा डिजाइन और विकास सॉफ्टवेयर है कमजोरियों से बचना निर्दिष्ट सुरक्षा मानकों और उद्योग सर्वोत्तम प्रथाओं का पालन करके सुरक्षा से संबंधित कमजोरियों का कारण बनता है।

सबसे पहला सवाल जो हर किसी के मन में उठता है वह है ‘हमारे सॉफ्टवेयर के लिए कितनी सुरक्षा आवश्यक है’ या जब हम कह सकते हैं कि हमारा सॉफ्टवेयर सुरक्षित है? तथा वे सुरक्षा मानक क्या हैं ?

धोखाधड़ी और सुरक्षा खतरे दिन-ब-दिन बढ़ते जा रहे हैं और हम तथाकथित सबसे सुरक्षित सॉफ्टवेयर में भी नई किस्मों और हैकिंग के तरीकों को देख रहे हैं।

हाल ही में हमने यूआईडीएआई के आधार कार्यक्रम को व्यक्तिगत डेटा के लिए छेड़छाड़ करते हुए सुना। इसलिए यह जानना बहुत मुश्किल है कि सॉफ्टवेयर के लिए सुरक्षा की कितनी आवश्यकता है और सुरक्षा मानक क्या हैं जब तक कि हम सॉफ्टवेयर में शामिल खतरों को नहीं समझते हैं और व्यवसाय के जोखिमों के आधार पर उन्हें प्राथमिकता देते हैं।

सॉफ्टवेयर के लिए 100% सुरक्षा सुरक्षा प्रदान करना संभवतः कठिन हो सकता है, लेकिन अगर प्रोग्राम टीम विश्लेषण करती है जोखिम और प्रतिभूति जो उनके सॉफ़्टवेयर में शामिल हैं यानी संभावित खतरे और अगर टीम उन जोखिमों को कम करने का ध्यान रख सकती है, तो यह आवेदन के सुरक्षा बिंदु से अच्छा होगा।

इस प्रकार, टीम के लिए सबसे पहला काम जोखिमों और प्रतिभूतियों की पहचान और विश्लेषण करना है जो उनके आवेदन में शामिल हैं और संभावित शमन विकल्पों को समझते हैं और तदनुसार सर्वश्रेष्ठ विकल्प को अपनाते हैं।

इसलिए, एक बार शीर्ष दस कमजोरियों की पहचान करने के लिए लगभग सभी हमलों को वर्गीकृत किया जाता है जो एक कार्यक्रम का सामना करने की संभावना है। यह खतरों की समझ बनाने में मदद करेगा और शमन से बचाव की दिशा में सुरक्षा और विकास के प्रयासों को प्राथमिकता देगा।

जैसे जब हम एक स्वास्थ्य-संबंधी ऐप विकसित करने की योजना बना रहे हैं, जो व्यक्तिगत स्वास्थ्य डेटा और उनकी व्यक्तिगत जानकारी को संभालता है और संग्रहीत करता है, तो आवेदन के लिए सबसे अधिक सुरक्षा जोखिम व्यक्तिगत स्वास्थ्य डेटा चोरी करना है।

जोखिम से राहत

जोखिम को कम करने के लिए,

• एक अनधिकृत उपयोगकर्ता द्वारा डेटा तक पहुंच के लिए सुरक्षा के कार्यान्वयन को उचित प्रमाणीकरण और प्राधिकरण (मजबूत पासवर्ड नीति कार्यान्वयन, 2 कारक प्रमाणीकरण) के साथ नियंत्रित करने की आवश्यकता है।
• यह सुनिश्चित करने के लिए ध्यान रखा जाना चाहिए कि पारगमन के दौरान डेटा ट्रांसमिशन के सुरक्षित चैनल (HTTPS) को लागू करने और पारगमन के दौरान डेटा एन्क्रिप्शन को लागू करने से एक स्रोत से दूसरे स्रोत तक डेटा के संचरण के दौरान कोई डेटा लीक नहीं हो।
• आराम पर डेटा से छेड़छाड़ या चोरी करना भी एक और संभावना है। इसलिए, व्यक्तिगत स्वास्थ्य डेटा (एन्क्रिप्शन का उपयोग करके) का भंडारण बहुत आवश्यक है।

C सिक्योर कोडिंग स्टैंडर्ड ’में जाने से पहले, पूरी प्रोग्राम टीम के लिए यह हमेशा बेहतर होता है A सुरक्षा जागरूकता सत्र ’ और चर्चा और मंथन के बारे में,

• उनके विशिष्ट उत्पाद के लिए सुरक्षा की आवश्यकता।
• संभव है कि एक हैकर उनके सिस्टम को हैक करके होगा।
• उनके आवेदन के सुरक्षा समझौते के संभावित तरीके और साधन।
• समान उद्योग और डोमेन में सामान्य सुरक्षा प्रथाओं का पालन किया जाता है।
• उनके संबंधित कार्यक्रमों के विशिष्ट सुरक्षा मुद्दों की समझ।

यह टीम को बेहतर तरीके से संभालने में भी मदद करता है, अगर वे समझ सकें भेद्यता के स्रोत कि उनका सॉफ्टवेयर सामना कर सकता है और जिन कारणों के साथ सॉफ्टवेयर बनाया गया है गरीब / अपर्याप्त सुरक्षा ।

अपर्याप्त सुरक्षा कार्यान्वयन के कारण

सामान्य तौर पर, आवेदन में अपर्याप्त सुरक्षा कार्यान्वयन के लिए निम्नलिखित कुछ कारण हैं।

• सुरक्षा पहलुओं की तुलना में कार्यात्मक रिलीज के लिए प्राथमिकता दी जाती है।
• सॉफ़्टवेयर सुरक्षा और हैकर्स के बारे में अज्ञानता या कोई जागरूकता नहीं।
• प्रोग्राम या सॉफ़्टवेयर डिज़ाइन पर पर्याप्त स्पष्टता नहीं है।
• कार्यक्रम की जटिलता।
• पर्याप्त डेटा नहीं, लाइव सिस्टम पर जानकारी जहां इसे तैनात किया जाएगा।
• SDLC चरणों में सुरक्षा का कोई विचार नहीं।
• सॉफ्टवेयर में प्रयुक्त भाषा की बारीकियों का अपर्याप्त ज्ञान और समझ।
• सुरक्षा कोडिंग दिशानिर्देशों के बारे में टीम और डेवलपर्स को पर्याप्त ज्ञान नहीं है।

हम जानते हैं कि ऐसा नहीं है कि सभी डेवलपर्स और टेस्टर्स किसी एप्लिकेशन की सुरक्षा के बारे में जानते हैं और सुरक्षा कमजोरियों और कारनामों के बारे में गहराई से समझ नहीं रख सकते हैं, खासकर उस एप्लिकेशन के लिए जो वे काम कर रहे होंगे। आम तौर पर, वे परिचित होंगे, ‘कार्यात्मक रूप से कोड कैसे करें’ लेकिन ये सभी नहीं जानते कि 'सुरक्षित रूप से कोड कैसे करें'।

इसलिए संगठन के लिए उनके सॉफ्टवेयर में सुरक्षित कोडिंग प्रथाओं को अपनाना सबसे महत्वपूर्ण पहलू है 'ट्रेन लोग' । इसलिए, सिक्योर कोडिंग एस्पेक्ट्स, बेस्ट सिक्योरिटी कोडिंग प्रैक्टिस और सही टूल उपयोग पर अपनी टीम को प्रशिक्षित करना बहुत महत्वपूर्ण है।

सॉफ्टवेयर सुरक्षा का सबसे महत्वपूर्ण डिजाइन सिद्धांत है 'डिजाइन और डिफ़ॉल्ट द्वारा सुरक्षा लागू करें' ।

सुरक्षित कोडिंग दिशानिर्देश

सुरक्षा प्राप्त करने के लिए, यह होना बहुत आवश्यक है 'सुरक्षित कोडिंग मानक' अनुप्रयोग विकास की शुरुआत में एक कार्यक्रम के लिए पहचाना जाता है, और यह टीम को सॉफ़्टवेयर के लिए सिक्योर डिफॉल्ट्स की देखभाल करने में मदद करता है और इसे हमलों से बचाने में मदद करता है।

यह सुनिश्चित करना आवश्यक है कि पूरी टीम है इस मानक का पालन करने के लिए लागू भले ही कोडिंग भाषा, और उपकरण जो वे कार्यक्रम में उपयोग कर रहे हैं।

नीचे दिए गए कुछ उदाहरण हैं जिन्हें सुरक्षित कोड डिज़ाइन में डिफ़ॉल्ट रूप से लागू करने की आवश्यकता है:

• प्रवेश केवल प्रमाणित उपयोगकर्ताओं तक ही सीमित होना चाहिए और हर स्तर पर प्रमाणीकरण को लागू करने की आवश्यकता है।
• प्रमाणीकरण टोकन की सुरक्षा के लिए संचार चैनलों को एन्क्रिप्ट करने की आवश्यकता है।
• सभी कुंजियों, पासवर्ड और प्रमाणपत्र को ठीक से संग्रहीत और संरक्षित करने की आवश्यकता है।
• फ़ाइल एन्क्रिप्शन, डेटाबेस एन्क्रिप्शन और डेटा तत्व एन्क्रिप्शन को लागू करने की आवश्यकता है।

सुरक्षित कोडिंग के लिए भाषा चयन

कोडिंग के लिए भाषा का चयन सुरक्षित कोडिंग पर निर्भर नहीं हो सकता है। सुरक्षित सॉफ़्टवेयर बनाने के लिए कोडिंग के लिए सुरक्षित या असुरक्षित भाषा के रूप में कुछ भी विशिष्ट नहीं है।

यह सिर्फ यह है कि हम सॉफ्टवेयर बनाने के लिए एक प्रोग्रामिंग भाषा का उपयोग कैसे करते हैं और डेवलपर को सुरक्षा पहलुओं को लागू करने में कोडिंग भाषा के बारे में कितनी गहराई से ज्ञान है।

हालांकि, यह स्पष्ट है कि, हालांकि सुरक्षित कोडिंग मानक भाषा के चयन से स्वतंत्र हैं, सिक्योर कोड बेस्ट प्रैक्टिसेस भाषा-निर्भर, प्लेटफ़ॉर्म डिपेंडेंट और इंप्लीमेंटेशन डिपेंडेंट हैं ।

इस प्रकार, एक सुरक्षित कोड होने के लिए, डेवलपर के लिए यह आवश्यक है कि कार्यक्रम में उपयोग की जाने वाली भाषा का गहन ज्ञान हो, ताकि सुरक्षा सर्वोत्तम प्रथाओं को आसानी से लागू किया जा सके।

उदाहरण:

• बफर अतिप्रवाह भेद्यता की संभावना भाषा से भाषा में भिन्न होती है, लेकिन C, C ++ और असेंबली को उनकी पुरानी स्मृति प्रबंधन क्षमताओं के कारण अतिसंवेदनशील माना जाता है। कई मानक सी काम के कार्य, जैसे कि स्ट्रैसी () और मेमसीपी (), बफर-ओवरफ्लो हमलों के लिए कमजोर हैं। इन फ़ंक्शंस का गलत उपयोग, स्रोत बफ़र की प्रतिलिपि बनाकर, जो कि गंतव्य बफ़र में फिट होने के लिए बहुत बड़ा है, बफर-ओवरफ़्लो में परिणाम देता है।
• जावा-आधारित वेब अनुप्रयोगों में आम समस्या संभव संसाधन लीक है जो खुले सिस्टम संसाधनों, जैसे फ़ाइल, सॉकेट और डेटाबेस कनेक्शन के कारण हो सकती है।

सुरक्षा का अगला पहलू इसके बारे में है उपयोग किए जाने वाले उपकरण एप्लिकेशन प्रोग्राम में सुरक्षा का अनुकूलन करने के लिए, जैसे टूल का उपयोग करके एकीकृत विकास वातावरण सबसे अधिक फायदेमंद होगा क्योंकि वे बहुत कुछ प्रदान करते हैं अलर्ट उपयोगकर्ताओं के लिए और सॉफ्टवेयर की गुणवत्ता में सुधार करने के लिए उन अलर्टों पर ध्यान दें।

• व्यावसायिक या ओपन-सोर्स लाइब्रेरी / प्लगइन्स जैसे कि ग्रहण, स्प्रिंग टूल सूट, आईडीई के साथ आरएड का एकीकरण डेवलपर्स को संभावित कमजोर कोड का पता लगाने और पहचान कर सुरक्षित कोड लिखने में मदद करता है और दुर्भावनापूर्ण फ़ाइल निष्पादन, सूचना प्रबंधन से संबंधित निष्कर्षों पर अलर्ट प्रदान करता है और अनुचित त्रुटि से निपटने।

इसका उपयोग करना भी आवश्यक है स्थैतिक और गतिशील विश्लेषक सॉफ्टवेयर के सुरक्षा पहलुओं को बेहतर बनाने के लिए। आम तौर पर, स्टेटिक विश्लेषणकर्ता विशिष्ट प्रकार की त्रुटि के लिए अनुकूलित होते हैं, इसलिए वे विशिष्ट त्रुटियों की पहचान करते हुए बड़ी संख्या में झूठी सकारात्मकताएं ढूंढते हैं। कभी-कभी ऐसी संभावनाएं होती हैं कि वे वास्तविक त्रुटियों को भी याद करते हैं।

इसलिए इसका उपयोग करने की सिफारिश की जाती है कई स्टेटिक एनालाइजर विभिन्न प्रकार की त्रुटियों का बेहतर कवरेज पाने के लिए और बहुत सी झूठी सकारात्मक चीजों से बचने के लिए। कई बार इसे अंजाम देने की भी सिफारिश की जाती है मैनुअल परीक्षण सेवा मेरे झूठी सकारात्मकता को खत्म करना ।

सुरक्षित कोडिंग नियम और सिफारिशें

कार्यक्रम के लिए एक सेट को परिभाषित करना अच्छा होगा ‘सुरक्षित कोडिंग नियम और सिफारिशें’ जिस पर अनुपालन के लिए स्रोत कोड का मूल्यांकन किया जा सकता है ताकि परीक्षक बाहर ले जा सकें ‘अनुरूपता अनुपालन परीक्षण’ इनमें से प्रत्येक सुरक्षित कोडिंग मानकों के लिए।

Android के लिए मुफ्त एमपी 3 गाने डाउनलोड एप्लिकेशन

इसलिए सुरक्षा कोड को निर्धारित बेंचमार्क के खिलाफ उन नियमों का उपयोग करके अनुरूप या गैर-अनुरूपता के रूप में प्रमाणित किया जा सकता है।

सुरक्षा उल्लंघनों की जांच के लिए नीचे उल्लिखित नियमों का उपयोग किया जा सकता है:

• फ़ाइलों को तब बंद करने की आवश्यकता होती है जब उनकी आवश्यकता नहीं होती है।
• जब भी किसी सीमा के पार किसी संरचना को पार किया जाता है, तो सूचना के रिसाव से बचने की आवश्यकता होती है।
• वस्तुओं को उचित भंडारण अवधि के साथ घोषित किया जाना चाहिए।

इसलिए, इन नियमों को सत्यापित करने के लिए परीक्षण मामलों को डिजाइन किया जाना चाहिए और अनुरूप अनुपालन की जांच करने के लिए किया जाना चाहिए। यह भी पता चला है कि अधिकांश भेद्यताएं सामान्य आम प्रोग्रामिंग त्रुटियों के कारण होती हैं।

Android के लिए सबसे अच्छा मुफ्त एमपी 3 डाउनलोडर

इसलिए, डेवलपर को समझने की जरूरत है Cod कोडिंग की असुरक्षित विधि ’ , जबकि वे सुरक्षित कोडिंग के सर्वोत्तम अभ्यास भी सीखते हैं। यह सबसे आम प्रोग्रामिंग त्रुटियों को इकट्ठा करने के लिए आदर्श है जो उनके आवेदन की सुरक्षा कमजोरियों में योगदान करते हैं ताकि कोडिंग करते समय उनका ध्यान रखा जा सके।

इस तरह की विशिष्ट प्रोग्रामिंग त्रुटियों को मुख्य रूप से बफर ओवरफ्लो, क्रॉस-साइट स्क्रिप्टिंग और इंजेक्शन की खामियों से योगदान दिया जाता है।

कुछ विशिष्ट प्रोग्रामिंग कमजोरियों में शामिल हैं,

• एसक्यूएल इंजेक्शन (एसक्यूएल कमांड में उपयोग किए जाने वाले विशेष तत्वों का अनुचित उपयोग)।
• पूर्णांक अतिप्रवाह।
• बफर अतिप्रवाह (इनपुट के आकार की जांच के बिना बफर कॉपी)।
• अनियंत्रित प्रारूप स्ट्रिंग।
• गुम प्रमाणीकरण और प्राधिकरण (गलत प्राधिकरण)।
• संवेदनशील डेटा जोखिम।
• अनुचित त्रुटि से निपटने।

इन त्रुटियों में से कुछ सिस्टम क्रैश, सिस्टम के लिए अप्रत्याशित पहुंच और हैकर्स के लिए खोए जा रहे सॉफ़्टवेयर का नियंत्रण हो सकता है।

आम प्रोग्रामिंग त्रुटियों से बचा जा सकता है

कुछ सामान्य प्रोग्रामिंग त्रुटियों से बचने की आवश्यकता है जो नीचे सूचीबद्ध हैं:

• एसक्यूएल कमांड () एसक्यूएल इंजेक्शन ’) में प्रयुक्त विशेष तत्वों का अनुचित न्यूट्रलाइजेशन।
• इनपुट के आकार की जांच के बिना बफर कॉपी (Size क्लासिक बफर ओवरफ्लो ’)।
• क्रिटिकल फंक्शन के लिए मिसिंग ऑथेंटिकेशन।
• गुम या गलत प्राधिकरण।
• हार्ड-कोडेड क्रेडेंशियल्स का उपयोग।
• संवेदनशील डेटा की अनुपलब्ध एन्क्रिप्शन।
• खतरनाक प्रकार के साथ फाइल का अप्रतिबंधित अपलोड।
• रिलायंस ने सिक्योरिटी डिसीजन में अनट्रेस्ड इनपुट्स दिए।
• अनावश्यक विशेषाधिकार के साथ निष्पादन।
• क्रॉस-साइट रिक्वेस्ट फोर्जरी (CSRF)।
• अखंडता की जाँच के बिना कोड डाउनलोड करें।
• बफ़र आकार की गलत गणना।
• अत्यधिक प्रमाणीकरण प्रयासों का अनुचित प्रतिबंध।
• अविश्वसनीय साइट पर URL पुनर्निर्देशन (irect ओपन रीडायरेक्ट ’)।
• अनियंत्रित प्रारूप स्ट्रिंग।
• बिना नमक के वन-वे हैश का उपयोग।

चेक कोड सिक्योर कोड प्रैक्टिस के लिए

पिछले, लेकिन कम से कम नहीं, सुरक्षित सॉफ़्टवेयर विकास पहलुओं के सभी उपरोक्त बिंदुओं पर विचार करने के बाद, डेवलपर्स को पालन करने की आवश्यकता है चेक कोड सुरक्षित कोड प्रथाओं के लिए स्थापित किया यह सुनिश्चित करने के लिए कि चीजें छूटी नहीं हैं। नीचे दिए गए कुछ नहीं बल्कि एक विस्तृत सूची है।

इनपुट सत्यापन:

• इनपुट पर भरोसा न करें, केंद्रीकृत इनपुट सत्यापन पर विचार करें।
• क्लाइंट-साइड सत्यापन पर भरोसा न करें।
• विहित मुद्दों के साथ सावधान रहें।
• बाधा, अस्वीकार और इनपुट को पवित्र करें। प्रकार, लंबाई, प्रारूप और श्रेणी के लिए मान्य।

प्रमाणीकरण:

• अनाम, पहचान और प्रमाणित क्षेत्र द्वारा विभाजन स्थल।
• मजबूत पासवर्ड का उपयोग करें।
• पासवर्ड समाप्ति अवधि और खाता अक्षमता का समर्थन करें।
• क्रेडेंशियल्स को स्टोर न करें (नमक के साथ एक-तरफा हैश का उपयोग करें)।
• प्रमाणीकरण टोकन की सुरक्षा के लिए संचार चैनलों को एन्क्रिप्ट करें।
• केवल HTTPS कनेक्शन पर प्रमाणीकरण कुकीज़ पास करें।

प्राधिकरण:

• कम से कम विशेषाधिकार प्राप्त खातों का उपयोग करें।
• प्राधिकरण ग्रैन्युलैरिटी पर विचार करें।
• विशेषाधिकारों को अलग करना।
• सिस्टम-स्तरीय संसाधनों के लिए उपयोगकर्ता की पहुंच को प्रतिबंधित करें।
• प्रमाणीकरण और प्राधिकरण के लिए OAuth 2.0 प्रोटोकॉल का उपयोग करें।
• कैरीआउट एपीआई सत्यापन।
• श्वेतसूची स्वीकार्य विधियाँ।
• विशेषाधिकार प्राप्त कार्यों और संवेदनशील संसाधन संग्रह को सुरक्षित रखें।
• क्रॉस-साइट संसाधन जालसाजी (CSRF) से बचाव करें।

सत्र प्रबंधन:

• सर्वर पर एक सत्र पहचानकर्ता बनाएँ।
• लॉगऑफ़ के साथ सत्र समाप्त करें।
• पुनः प्रमाणीकरण पर एक नया सत्र उत्पन्न करें।
• TLS पर प्रसारित कुकीज़ के लिए 'सुरक्षित' विशेषता सेट करें।

क्रिप्टोग्राफी:

• क्रिप्टोग्राफी का उपयोग करें जबकि c ट्रांज़िट में डेटा, स्टोरेज में डेटा, मोशन में डेटा, मैसेज इंटीग्रिटी ’।
• अपना खुद का विकास मत करो। कोशिश की और परीक्षण मंच सुविधाओं का उपयोग करें।
• एल्गोरिदम के पास अनएन्क्रिप्टेड डेटा रखें।
• सही एल्गोरिथ्म और कुंजी आकार का उपयोग करें।
• प्रमुख प्रबंधन से बचें (DPAPI का उपयोग करें)।
• समय-समय पर अपनी चाबियों का चक्र लगाएं।
• प्रतिबंधित स्थान में स्टोर कीज़।

लॉगिंग और ऑडिटिंग:

• दुर्भावनापूर्ण व्यवहार की पहचान करें।
• जानिए अच्छा ट्रैफिक कैसा दिखता है।
• सभी आवेदन पत्रों के माध्यम से ऑडिट और लॉग गतिविधि।
• लॉग फ़ाइलों के लिए सुरक्षित पहुँच।
• लॉग फ़ाइलों का बैक अप और नियमित रूप से विश्लेषण करें।

आउटपुट एन्कोडिंग:

• कैरीआउट ry इनपुट सत्यापन (XML, JSON…।)।
• Parameterized क्वेरी का उपयोग करें।
• 'स्कीमा सत्यापन' को पूरा करें।
• एन्कोडिंग (XML, JSON ..) को कैरी करें।
• सुरक्षा हेडर भेजें।

संदर्भ: ' OWASP सिक्योर कोडिंग प्रैक्टिस चेकलिस्ट (संक्षेप में, एससीपी चेकलिस्ट) '

सुरक्षित कोडिंग चेकलिस्ट का सारणीबद्ध सारांश

नीचे दी गई तालिका संक्षेप में बताती है ’सिक्योर कोड के लिए याद रखने योग्य बातें’ एक आवेदन की।

निष्कर्ष

हमें उम्मीद है कि यह ट्यूटोरियल सॉफ्टवेयर सुरक्षा सुनिश्चित करने के लिए आपका सबसे अच्छा मार्गदर्शक होगा।

सुरक्षित सॉफ़्टवेयर विकास के लिए कोडिंग दिशानिर्देशों को सरल शब्दों में अवधारणा की आपकी आसान समझ के लिए उदाहरणों के साथ यहां सूचीबद्ध किया गया था।

पढ़ने का आनंद लो!!

अनुशंसित पाठ

• सुरक्षा परीक्षण (एक पूर्ण गाइड)
• शीर्ष 30 सर्वश्रेष्ठ साइबर सुरक्षा कंपनियां 2021 में (स्माल टू एंटरप्राइज लेवल फर्म)
• शुरुआती के लिए कंप्यूटर प्रोग्रामिंग की मूल बातें | कोडिंग ट्यूटोरियल
• टॉप 15 बेस्ट फ्री कोड एडिटर्स फॉर परफेक्ट कोडिंग एक्सपीरियंस
• SQL इंजेक्शन परीक्षण ट्यूटोरियल (उदाहरण और SQL इंजेक्शन हमले की रोकथाम)
• डेवलपर्स अच्छे परीक्षक नहीं हैं। क्या आप कहते हैं?
• ISTQB फाउंडेशन परीक्षा प्रारूप और पत्रों को हल करने के लिए दिशानिर्देश
• मोबाइल ऐप सुरक्षा परीक्षण दिशानिर्देश