SoftUni Creative logo Softuni AI logo SoftUni Kids logo Finance Academy logo
  • Search

Какво представлява "Secure Coding"-ът?

Calendar image 02.04.19 User image Георги Кацаров Clock image 2 минути
Какво представлява "Secure Coding"-ът?

Secure coding е практика, при разработката на софтуер, която цели превенцията на случайни уязвимости в програмата – дефекти, бъгове и логически недостатъци са най-честата причина за такива. Чрез анализ на хиляди уловени или проявили се уязвимости, професионалистите в сферата на сигурността установяват, че повечето уязвимости произтичат от малък брой общи грешки, допуснати в процеса на софтуерно програмиране. Чрез идентифициране на несигурните кодинг практики, които водят до тези грешки и образоване на разработчиците по отношение на алтернативи в сигурността, организациите могат да направят проактивни стъпки, за да помогнат значително да се намалят или елиминират уязвимостите в софтуера, преди неговото пускане. Ето кои са някои от най-често срещаните типове грешки:

Buffer overflows

Преливането на буферите” е една от най-често срещаните уязвимости в сигурността на даден софтуер. Той се проявява, когато даден процес на програмата се опитва да запази данни, надхвърляйки точно-фиксирания размер на определения за целта буфер. Например ако имате 8 слота, в които да съхраните 8 елемента, ще бъде проблем, ако се опитате да запазите в него 9-ти елемент. Въпреки, че зависи от особеностите, на технологиите и начина по който те се използват, най-често компютрите данните, които извършват overflow, най-често се записват като първи и т.н. следващ елемент, в следващата локация. Резултата от това може да е уязвимост в изпълнението на програмната логика, която да се забележи от недоброжелатели и да се експлоатира с неетични цели. Тъй като локациите памет, заделени за запазване на данни, най-често се наричат „стекове“ (“stacks”), форсираното преливане най-често се нарича “stack smashing”, но е известно още и като “stack overflow” (варира според терминологията на езика).

Format String Attack

Format String Attack се нарича злоупотреба, при която потребител въвежда специфични данни за вход, които програмата отчита като аргументи за дадена функция, която на свой ред изпълнява дадено форматиране. По този начин може да се постигне четене или писане във даден стек от паметта.

Integer overflow

Integer overflow се проявява, когато аритметична операция доведе до резултат, чийто брой цифри надхвърля даден диапазон (бил той 16-битов, 32-битов или по-голям). Програма, която не проверява за надхвърляне на диапазона, представлява среда за софтуерни бъгове и/или други уязвимости. Освен това този проблем може да се прояви и когато даден брой цифри на едно число е под минимума, изискуем от даден диапазон.

Това са много малък брой възможни грешки, които могат да възникнат в дадена програма, поради невнимание или незнание, по време на нейното създаване. За да се запознаете с добрите практики за писане на добър код и създаване на сигурни приложения – запишете се още днес за курса „Secure Coding Fundamentals – април 2019“. Не пропускайте тази възмножност!

Предишна статия Следваща статия
Можем ли да използваме бисквитки?
Ние използваме бисквитки и подобни технологии, за да предоставим нашите услуги. Можете да се съгласите с всички или част от тях.
Назад
Функционални
Използваме бисквитки и подобни технологии, за да предоставим нашите услуги. Използваме „сесийни“ бисквитки, за да Ви идентифицираме временно. Те се пазят само по време на активната употреба на услугите ни. След излизане от приложението, затваряне на браузъра или мобилното устройство, данните се трият. Използваме бисквитки, за да предоставим опцията „Запомни Ме“, която Ви позволява да използвате нашите услуги без да предоставяте потребителско име и парола. Допълнително е възможно да използваме бисквитки за да съхраняваме различни малки настройки, като избор на езика, позиции на менюта и персонализирано съдържание. Използваме бисквитки и за измерване на маркетинговите ни усилия.
Рекламни
Използваме бисквитки, за да измерваме маркетинг ефективността ни, броене на посещения, както и за проследяването дали дадено електронно писмо е било отворено.