คำถามติดแท็ก code-security

8
ทำไมรัฐบาลสหรัฐไม่อนุญาตให้ใช้ภาษาแบบไดนามิกสำหรับโครงการที่ปลอดภัย?
ฉันรู้ว่าบางคนกำลังทำงานในโครงการสำหรับกองทัพสหรัฐฯ (ระดับความปลอดภัยต่ำข้อมูลประเภททรัพยากรมนุษย์ที่ไม่ต่อสู้) สถานะเริ่มต้นของรหัสโครงการถูกส่งไปยังทหารเพื่อตรวจสอบและพวกเขาก็เรียกใช้โปรแกรมผ่านเครื่องมือวิเคราะห์ความปลอดภัยบางประเภท จะส่งคืนรายงานปัญหาความปลอดภัยที่ทราบในรหัสและการเปลี่ยนแปลงที่จำเป็นซึ่งจำเป็นต้องนำไปใช้ก่อนส่งมอบผลิตภัณฑ์ขั้นสุดท้าย หนึ่งในรายการที่จำเป็นต้องได้รับการแก้ไขคือการลบส่วนหนึ่งของโครงการที่เขียนในRubyเนื่องจากเป็นภาษาแบบไดนามิก พื้นหลัง / เหตุผลในการไม่อนุญาตให้ใช้ภาษาไดนามิกในการตั้งค่าความปลอดภัยคืออะไร นี่เป็นรัฐบาลที่นำเทคโนโลยีใหม่มาใช้ช้าหรือไม่? หรือภาษาไดนามิกมีความเสี่ยงด้านความปลอดภัยเพิ่มเติมเมื่อเทียบกับภาษาแบบคงที่ (ala C ++หรือJava ) หรือไม่

8
ความปลอดภัยและความน่าเชื่อถือในการโฮสต์เว็บไซต์เช่น sourceforge, github หรือ bitbucket สำหรับโปรเจ็กต์แบบปิดเป็นอย่างไร [ปิด]
ฉันกำลังพิจารณาใช้ sourceforge, bitbucket หรือ github สำหรับการจัดการการควบคุมแหล่งที่มาสำหรับธุรกิจของฉัน ฉันมีโครงการแบบเปิดและฉันมีส่วนร่วมในโครงการเปิดเช่น gcc แต่ฉันก็มีธุรกิจที่ฉันพัฒนาซอฟต์แวร์โอเพนซอร์สสำหรับการใช้ชีวิตของฉัน แหล่งที่เชื่อถือได้ความเชื่อถือของ Github หรือ Bitbucket ในแง่ของการรักษาความปลอดภัยของซอฟต์แวร์จากการสอดรู้สอดเห็นหรือไม่? โฮสติ้งมีความเสถียรเพียงใดในแง่ของการป้องกันการสูญหายของข้อมูล? มีใครบ้างไหมที่ใช้ตรรกะทางธุรกิจกับชุดดังกล่าว? มีใครออกสำรวจโซลูชันโฮสติ้งหลาย ๆ

6
ฉันจะป้องกันไม่ให้ลูกค้าเห็นรหัสของฉันเขียนเป็นภาษาที่ตีความได้อย่างไร
ฉันกำลังสร้างโปรแกรมตีความที่ค่อนข้างซับซ้อนใน Python ฉันทำงานเกี่ยวกับรหัสนี้เพื่อวัตถุประสงค์อื่น ๆ เป็นเวลาสองสามเดือนและไม่ต้องการให้ลูกค้าของฉันสามารถคัดลอกและพยายามขายมันได้เพราะฉันคิดว่ามันคุ้มค่ากับเงินที่จ่าย ปัญหาคือฉันต้องการสคริปต์เพื่อเรียกใช้บนเซิร์ฟเวอร์ที่ลูกค้าของฉันจ่ายเงินดังนั้นจะมีวิธีใดที่ฉันสามารถรักษาความปลอดภัยโฟลเดอร์เฉพาะบนเครื่องจากการเข้าถึงรูทหรือทำให้มันสามารถใช้งานได้เพียงไดเรกทอรีเดียวเท่านั้น ? ระบบปฏิบัติการคือ Ubuntu

3
การป้องกันความลับออกจากการควบคุมแหล่ง - เราเพิ่งจะย้ายปัญหาหรือไม่
ฉันสืบทอดบางโปรเจ็กต์ที่ความลับอยู่ในการควบคุมซอร์สใน App.config และไฟล์ที่คล้ายกัน โชคดีที่มันไม่ใช่ที่เก็บข้อมูลสาธารณะดังนั้นความเสี่ยงจึงไม่ร้ายแรงเท่าที่ควร ฉันกำลังมองหาวิธีที่ดีกว่าในการจัดการสิ่งนี้เช่น Azure KeyVault (แต่ฉันไม่ได้ตั้งใจจะให้คำถามนี้เฉพาะเจาะจงกับโซลูชันนั้น) โดยทั่วไปเราไม่ได้เป็นเพียงแค่การแก้ปัญหาหรือไม่ ตัวอย่างเช่นด้วย Azure KeyVault รหัสแอปและความลับของแอปกลายเป็นสิ่งที่คุณต้องการหลีกเลี่ยงการควบคุมแหล่งที่มา นี่เป็นตัวอย่างทั่วไปที่น่าเสียดายที่สิ่งนี้มีแนวโน้มที่จะผิดพลาด วิธีการอื่น ๆ นั้นมีความคล้ายคลึงกันโดยใช้คีย์ API หรือไฟล์ที่เก็บคีย์ที่คุณต้องปกป้อง สำหรับฉันแล้วดูเหมือนว่าผลิตภัณฑ์อย่าง Azure KeyVault นั้นไม่ดีกว่าและซับซ้อนกว่าการเก็บความลับของคุณในไฟล์กำหนดค่าแยกต่างหากและทำให้แน่ใจว่ามันอยู่ใน. gitignore หรือเทียบเท่า ไฟล์นี้จะต้องมีการแบ่งปันตามต้องการผ่านช่องทางด้านข้าง แน่นอนว่าผู้คนอาจจะส่งอีเมลถึงกันอย่างไม่ปลอดภัย ... มีวิธีการจัดการความลับที่ไม่เพียง แต่ย้ายปัญหาหรือไม่ ฉันเชื่อว่าคำถามนี้มีคำตอบที่ชัดเจนคำตอบเดียว โดยการเปรียบเทียบถ้าฉันถามว่า HTTPS ไม่เพียงแค่เคลื่อนย้ายปัญหาคำตอบก็คือปุ่ม CA จะกระจายไปกับระบบปฏิบัติการของคุณและเราเชื่อมั่นพวกเขาเพราะเราเชื่อถือวิธีการกระจายของระบบปฏิบัติการ (ไม่ว่าเราควรเป็นคำถามแยกต่างหาก ... )
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.