Co raz to więcej osób zaczyna uczyć się programować. Najlepiej byłoby, gdyby nauka przebiegała szybko, i wiązała się z szybkim znalezieniem swojej pierwszej pracy w IT, jako programista. Pośpiech nie jest w tym wypadku wskazany, gdyż zapomina się często o dobrych praktykach programowania, najczęściej związanych tych z bezpieczeństwem. W związku z tym, podsyłam listę 20 podstawowych dobrych praktyk, związanych właśnie z programowaniem – w języku Python, ale część z tych dobrych praktyk może mieć zastosowanie również w innych językach programowania. A zatem, żeby nie przedłużać:
- Walidacja danych wejściowych: Upewnij się, że wszystkie dane wprowadzane przez użytkownika są odpowiednio sprawdzane i oczyszczane, aby zapobiec atakom typu „injection”.
- Korzystanie z szyfrowania: Korzystaj z szyfrowania, aby chronić poufne dane, takie jak hasła, sekrety czy np numery kart kredytowych.
- Korzystanie z bezpiecznych bibliotek: Korzystaj z bibliotek, które zostały sprawdzone pod kątem luk w zabezpieczeniach i są znane jako bezpieczne.
- Unikaj używania eval(): Użycie eval() może stanowić lukę w zabezpieczeniach, ponieważ umożliwia wykonanie dowolnego kodu.
- Używaj silnych haseł: Używaj silnych, unikalnych haseł do wszystkich kont użytkowników – najlepiej takich wygenerowanych przez managera haseł i korzystaj z uwierzytelniania dwuskładnikowego np przy użyciu klucza U2F.
- Korzystanie z separacji uprawnień: Użyj separacji uprawnień, aby ograniczyć zakres potencjalnych szkód w przypadku naruszenia bezpieczeństwa.
- Korzystanie ze środowiska wirtualnego: Użyj środowiska wirtualnego, aby odizolować swoje środowisko programistyczne i zapobiec konfliktom z innymi pakietami.
- Korzystanie z firewalla: Używaj firewalla, aby ograniczyć dostęp do systemu i chronić go przed nieautoryzowanym dostępem.
- Korzystanie ze skanera bezpieczeństwa: Użyj skanera bezpieczeństwa, aby regularnie skanować swój kod w poszukiwaniu potencjalnych luk w zabezpieczeniach.
- Aktualizuj oprogramowanie: Aktualizuj całe oprogramowanie, w tym system operacyjny, aby mieć pewność, że wszelkie znane luki w zabezpieczeniach zostaną załatane.
- Korzystanie z bezpiecznego zarządzania sesją: Korzystaj z bezpiecznego zarządzania sesją, aby chronić dane użytkowników i zapobiegać przejmowaniu sesji.
- Korzystanie z rejestrowania i monitorowania: Korzystaj z rejestrowania i monitorowania, aby śledzić i wykrywać wszelkie podejrzane działania w systemie.
- Korzystanie z obsługi błędów: Używaj obsługi błędów, aby zapobiegać wyciekom informacji i chronić system przed potencjalnymi atakami.
- Korzystanie z bezpiecznej obsługi plików: Korzystaj z bezpiecznej obsługi plików, aby zapobiec nieautoryzowanemu dostępowi do poufnych plików.
- Korzystanie z bezpiecznej komunikacji: Korzystaj z bezpiecznej komunikacji, takiej jak HTTPS, aby chronić transmisję danych.
- Stosowanie kontroli dostępu: Korzystaj z kontroli dostępu, aby ograniczyć dostęp do wrażliwych danych i ograniczyć zakres potencjalnych szkód w przypadku naruszenia bezpieczeństwa.
- Korzystanie z testów penetracyjnych: Używaj testów penetracyjnych, aby identyfikować i korygować wszelkie luki w zabezpieczeniach kodu.
- Korzystanie z modelowania zagrożeń: Skorzystaj z modelowania zagrożeń, aby zidentyfikować potencjalne zagrożenia dla swojego systemu i opracować plan ich łagodzenia.
- Korzystanie z przeglądu kodu: Użyj przeglądu kodu, aby zidentyfikować i naprawić wszelkie potencjalne problemy z zabezpieczeniami przed wdrożeniem.
- Kontynuuj naukę: Bądź na bieżąco z najnowszymi trendami i najlepszymi praktykami w zakresie bezpieczeństwa oraz poświęć trochę czasu na poznanie nowych technologii i narzędzi, które mogą pomóc w zwiększeniu bezpieczeństwa Twojego kodu.
Należy zauważyć, że bezpieczeństwo jest procesem ciągłym i wymaga regularnego monitorowania i aktualizacji. Postępując zgodnie z tymi najlepszymi praktykami, możesz zwiększyć bezpieczeństwo swojego kodu i chronić swoje aplikacje przed potencjalnymi atakami.
Adam Wyka - IT Business Support 