問題タブ [secure-coding]

RPG と CL の安全なコーディング リソースを教えてくれる人がいるかどうか疑問に思っています。(ロールプレイングゲームではなく、iSeries のような RPG)。

一般的な安全なコーディング ガイドラインをカバーするリソースを見つけるのに問題はありません。また、特定の言語のベスト プラクティスをカバーする .NET、Java、またはその他のほとんどすべての最新言語の特定のガイドラインを見つけることもできます。(たとえば、.NET での検証コントロールの適切な使用など) しかし、RPG プログラミングに固有の適切なリソースを見つけることができないようです。

私が質問しているのは、.NET コードが定期的に iSeries コードを呼び出す混合環境の出身だからです。ほとんどの場合、iSeries コードは、ストアード・プロシージャーのように「ラップ」された RPG または CL プログラムの形式になっています。チーム全体の安全なコーディング プラクティスのドキュメントとポリシーに取り組んでいますが、iSeries 開発者向けの適切なリソースを IBM サイトでさえ見つけることができません。

経験豊富な iSeries 開発者が 1 人か 2 人、このテーマに関する優れた記事やレッドブックを教えてくれることを願っています。

編集

私はこれを間違って見ているかもしれません。また、OS によって提供されるセキュリティだけでなく、DB2 のセキュリティに関するドキュメントにも興味があります。

C++ での安全なコーディング プラクティスの包括的な記録を探しています。このようなリストはまだここに存在していないので、さらに参照できるように、これをコミュニティ wiki にすることもできます。スタックおよびヒープ ベースのバッファ オーバーフローおよびアンダーフロー、整数オーバーフローおよびアンダーフロー、フォーマット文字列攻撃、ヌル ポインタ逆参照、ヒープ/メモリ インスペクション攻撃などのセキュリティ問題に対する解決策を探しています。

注: コーディングの実践以外に、この種の攻撃を防御する安全なライブラリも言及する価値があります。

LE: MSalters のコメントで示唆されているように、この質問は C++ 用と C 用の 2 つの個別の質問に分割されています。セキュア C コーディング プラクティスも参照してください。

C での安全なコーディング プラクティスの包括的な記録を探しています。そのようなリストがここにまだ存在していないので、これをコミュニティ wiki にして、さらに参照できるようにすることもできます。スタックおよびヒープ ベースのバッファ オーバーフローおよびアンダーフロー、整数オーバーフローおよびアンダーフロー、フォーマット文字列攻撃、ヌル ポインタ逆参照、ヒープ/メモリ インスペクション攻撃などのセキュリティ問題の解決策を探しています。

注: コーディングの実践以外に、この種の攻撃を防御する安全なライブラリも言及する価値があります。

LE: この質問に見られるように、安全な C++ コーディング プラクティスですが、C のみを対象としています。

FlowPlayerを使用して、AmazonS3バケットに保存されているファイルのAmazonEC2インスタンスを使用してWowzaからRTMPを使用してストリーミングしています。ストリーミングを安全にしたいと思います。フロープレーヤーでは、それを実現できます。安全なストリーミング

図のようにJavaScriptにシークレットトークンを含めると、誰でも簡単に読み取ることができます。したがって、それほど安全ではありません。言及されている別の方法は、FlowPlayerソースファイルをコンパイルすることです。これに関するチュートリアルは見つかりませんでした。編集するファイルと編集するファイルを教えてもらえますか？

httpsで暗号化された形式のデータはfirebugで表示されますか？私はそれをテストしますが、firebugは私にテキストプレーンの投稿されたパラメータを表示します。

機密データ (パスワードなど) を にどのように保存しstd::stringますか?

ユーザーにパスワードの入力を求め、接続のセットアップ中にそれをダウンストリーム サーバーに渡すアプリケーションがあります。接続が確立された後、パスワードの値を安全にクリアしたい。

パスワードをchar *配列として保存すると、 SecureZeroMemoryなどの API を使用してプロセス メモリから機密データを削除できます。ただし、コード内の char 配列を避けたいので、同様のものを探していstd::stringますか?

セキュリティに重点を置いた Android プラットフォーム向けの適切なコーディング ガイドラインはありますか?

ありがとう

mkdir()for Cの安全な代替手段はありますか? いくつかのコードを調べていると、 への呼び出しを使用していることに気付きましたmkdir()。US-CERT Secure Coding サイトで読んだことによると、その機能を使用すると、「Time of Check, Time of Use」(TOCTOU) に対して脆弱になります。

編集

zlib の miniunz.c ソースから

上記mkdirは私が言及しているものです。

これら 2 つのオプションのどちらを使用する方が安全かを知りたいです。

1. sprintf(buff, "%.*s", MAXLEN, name)

2. snprintf(buff, MAXLEN, "%s", name)

私の理解では、どちらも同じです。提案してください。

したがって、文字列は不変であるため、パスワードを格納するために文字列の代わりにchar []を使用して、使い終わったときに文字を消去できるようにします。この場合、StringBuilder（またはStringBuffer）はchar []と同じくらい安全ですか。これは、パスワードの値を「」などに変更できるためです。