PDA

View Full Version : Vun đắp trật tự lập trình an toàn


digi2936
05-09-2019, 10:40 PM
phần đông hoc lap trinh web (https://mindx.edu.vn/blog/post/ung-dung-python)những vấn đề bảo mật đều can dự tới những lỗi lập trình. Dù vấn đề ấy tác động đến những cấu phần của hệ điều hành, ứng dụng client/server, vận dụng web hay những đoạn mã nhúng trong trang bị phần cứng, thì các lỗ hổng bảo mật nức danh đều liên quan đến lỗi lập trình.

dù rằng các lập trình viên luôn muốn lớn mạnh ứng dụng ko sở hữu lỗi nhưng họ thường dành đầu tiên quan tâm đến những chức năng hấp dẫn của áp dụng, hoàn thành Công trình đúng tiến độ để kịp đưa sản phẩm ra thị phần hay những trắc trở khác hơn so có việc đảm bảo sự an toàn, bảo mật của áp dụng. Mặt khác, do tính phức tạp của những hệ thống khoa học, việc đảm bảo vận dụng không với lỗi bảo mật là vô cùng cạnh tranh, ngay cả mang những lập trình viên cao cấp.
Liệu sở hữu thể khắc phục vấn đề bằng phương pháp dùng các bản vá lỗi? Gần như doanh nghiệp to nhỏ không thể theo kịp tốc độ xuất hiện chóng mặt của các bản vá. Hãy giả sử phần đông Internet và các nhà sản xuất trọng yếu của nó chỉ bao gồm 100 vận dụng chính. Và mỗi áp dụng đấy chỉ có khoảng 100 lỗ hổng bảo mật thì chúng ta đã mang 10 ngàn lỗ hổng sở hữu thể bị tin tặc lợi dụng.
Trên thực tiễn số lỗ hổng còn to hơn phổ thông. Lập trình viên bảo mật nổi danh Wietse Venema ước lượng rằng sở hữu khoảng 1 lỗi bảo mật trong 1000 cái lệnh mà ông viết. Có các hệ điều hành như Linux hay Windows – những sản phẩm bao gồm hàng trăm triệu mẫu lệnh – thì số lỗi bảo mật sở hữu thể lên đến hàng trăm nghìn. Theo Báo cáo của CERT, người ta đã phát hiện được khoảng 5000 lỗi bảo mật trong năm 2003. Mang tốc độ đó, cần phải mất 20 năm để phát hiện hết các lỗi bảo mật của một hệ quản lý. Việc giải quyết những lỗi đấy còn mất đa dạng thời kì hơn và theo Nhìn vào thì khoảng 10-15% những bản vá bảo mật lại sinh ra lỗ hổng mới! Việc áp những bản vá đó – ngay cả lúc các người quản trị hệ thống không làm việc gì khác – sẽ không bao giờ giúp chúng ta có được 1 cơ sở Internet an toàn. Vì thế, dù việc vá lỗi rất quan trọng, nhưng việc khiến thế nào để giảm bớt các lỗi bảo mật trong phần mềm còn quan yếu hơn.
làm thế nào để giảm bớt số lỗi bảo mật trong phần mềm? 1 Sai lầm phổ biến của đa số người – từ lập trình viên cho tới cán bộ quản lý – là chạy theo những lỗ hổng. Quan điểm của họ là “hãy đưa tôi danh sách các lỗi bảo mật cần giảm thiểu, tôi sẽ đảm bảo chúng không xuất hiện trong phiên bản tiếp theo”.
Phát hiện lỗ hổng bảo mật mới? Hãy thông báo cho những đội ngũ lập trình để biết và giảm thiểu lỗ hổng đó. Điều đấy ko sai, nhưng không phải là điều quan yếu nhất. Đầy đủ lỗ hổng khác nhau khởi hành trong khoảng cộng 1 kiểu lỗi trong lập trình. Việc xác định và đảm bảo lập trình viên tuân thủ các nguyên tắc cơ bản trong lập trình bảo mật sẽ mang lại hiệu quả cao hơn đa số so có việc chạy theo từng lỗ hổng cụ thể.
như vậy như thế, những lỗi bảo mật cần được học lập trình cho trẻ Tìm hiểu, phân chiếc để đảm bảo các nỗ lực được tụ họp để khắc phục những khó khăn quan yếu nhất. Một trong những phương pháp tiếp cận ấy là OWASP Top 10 - danh sách các lỗi bảo mật nghiêm trọng nhất của phần mềm web do Open Web Application Security Project lập. Danh sách này được ban bố lần đầu năm 2010 và cập nhật năm 2013.
OWASP Top 10 tương đối lừng danh và được phổ quát đơn vị sử dụng: Microsoft sử dụng để Tìm hiểu độ bao phủ của thứ tự lớn mạnh an toàn và khả năng nâng cao độ an toàn bảo mật mà việc ứng dụng thứ tự đem lại, NSA cũng tiêu dùng nó trong tài liệu chỉ dẫn lập trình web an toàn của doanh nghiệp này, PCI Council thì tận dụng để hình thành nên một phần của tiêu chuẩn PCI DSS. Nhưng liệu cách thức tiếp cận trong khoảng trên xuống sở hữu giúp giải quyết hết những vấn đề của lập trình an toàn bảo mật? Ví như lỗ hổng bảo mật không nằm trong mã nguồn của vận dụng nhưng mà xuất hiện trong các thư viện do bên thứ ba phân phối hay trong hệ quản lý thì phải làm cho thế nào?
Trong trường hợp này, việc phát tán thông báo về lỗ hổng cho từng lực lượng lập trình/từng lập trình viên đơn lẻ ko mang ý nghĩa gì phổ biến. Cách phải chăng nhất là phân công một đội ngũ hay 1 cán bộ chuyên trách theo dõi danh sách những lỗ hổng, xác định phương án giải quyết (có thể là cập nhật bản vá lỗi, phiên bản mới, thay đổi cấu hình khai triển hay lớn mạnh bổ sung 1 biện pháp thay thế, vòng tránh) trước khi gửi phương án ấy cho những nhóm phát triển. Rõ ràng ở đây việc làm cho rõ thứ tự và chuyên môn hoá sẽ sở hữu hiệu quả hơn rộng rãi so mang cách thức làm “sai đâu sửa đó”.

XEm thêm =>> https://mindx.edu.vn/blog/post/ung-dung-python


thực tại ở đông đảo những đơn vị phát triển phần mềm cho thấy, các tài liệu về lỗi bảo mật trong phần mềm hay các chỉ dẫn khoa học để tránh lỗi tuy rất nhiều nhưng không giúp ích phổ quát trong việc nâng cao chất lượng phần mềm ví như không vận dụng thứ tự giám sát, kiểm tra. Những công ty phần mềm đều trông thấy rằng, điều chủ yếu để đáp ứng yêu cầu bảo mật cho phần mềm là phải triển khai những thứ tự sở hữu thể lặp lại, đảm bảo chất lượng đồng đều và đo kiểm được. Từ đó, những nhà sản xuất phần mềm tuần tự chuyển sang ứng dụng các trật tự nghiêm ngặt, hội tụ nâng cao độ an toàn cho sản phẩm. Thứ tự đó sẽ nhằm tránh số lỗ hổng bảo mật trong công đoạn ngoại hình, lập trình và tài liệu, phát hiện và gỡ bỏ các lỗ hổng trong công đoạn phát triển càng sớm càng tốt.

Chuyện học tập & là m việc ở MindX