タグ付けされた質問 「code-security」

現在、米軍のプロジェクト（低セキュリティレベル、非戦闘人事タイプのデータ）に取り組んでいる人々を知っています。 プロジェクトコードの初期状態がレビューのために軍に提出され、彼らは何らかのセキュリティアナライザーツールを介してプログラムを実行しました。コード内の既知のセキュリティ問題のレポートと、最終製品の配信前に実装する必要がある変更が必要なレポートを返しました。 解決する必要がある項目の1つは、Rubyが動的言語であるために作成されたプロジェクトの一部を削除することでした。 動的言語を安全な設定で使用できないようにする背景/理由は何ですか？これは、政府が新しい技術を採用するのが遅いのですか？または、動的言語は静的言語（ala C ++またはJava）と比較して追加のセキュリティリスクをもたらしますか？

120 code-security  dynamic-languages  government 

私は、私のビジネスのソース管理を管理するために、sourceforge、bitbucket、またはgithubの使用を検討しています。私はプロジェクトを開いており、gccなどのプロジェクトに参加しています。しかし、私は自分の生活のためにクローズドソースのソフトウェアを開発するビジネスも持っています。 for索好きな目からソフトウェアを安全に保つという点で、sourceforge、github、またはbitbucketはどれほど信頼できますか？データ損失防止に関して、ホスティングはどの程度安定していますか？そこに誰もがそのような服装でビジネスロジックに基づいていますか？ホスティングソリューションのいくつかを調査した人はいますか？

32 version-control  github  project-hosting  code-security  bitbucket 

Pythonでかなり複雑なインタープリタープログラムを構築しています。私はこのコードの大部分を他の目的で数か月間作業してきたので、クライアントが単純にコピーして販売しようとするのは望ましくありません。 問題は、クライアントが支払っているサーバーでスクリプトを実行する必要があるため、マシン上の特定のフォルダーをルートアクセスから保護する方法、または特定の使用者のみがディレクトリにアクセスできるようにする方法があります？OSはUbuntuです。

16 python  code-security 

App.configおよび同様のファイルでシークレットがソース管理されているいくつかのプロジェクトを継承しました。幸い、それは公開リポジトリではないため、リスクはそれほど深刻ではありませんでした。Azure KeyVaultなど、これを管理するためのより良い方法を検討しています。（しかし、この質問がその解決策に固有であるとは思わない。） 一般に、問題を解決するだけではないですか？たとえば、Azure KeyVaultでは、アプリIDとアプリシークレットが、ソース管理の対象外にしておく必要があるものになります。残念ながらこれがうまくいかない傾向の典型的な例を次に示します。他のアプローチも同様になり、APIキーまたはキーストアファイルを保護する必要があります。 Azure KeyVaultのような製品は、シークレットを個別の構成ファイルに保存し、それが.gitignoreまたは同等のものに含まれていることを確認するよりも優れており、意味のないほど複雑であるように思えます。このファイルは、必要に応じてサイドチャネルを介して共有する必要があります。もちろん、人々はおそらく安全にお互いにそれを電子メールで送信しません... 問題を解決するだけでなく、秘密を管理する方法はありますか？この質問には、明確に定義された単一の答えがあると思います。類推して、HTTPSが問題を解決するだけではないのかと尋ねると、答えはCAキーがOSと共に配布され、OSの配布方法を信頼しているので、私たちはそれらを信頼しているということです。（別の質問にする必要があるかどうか...）

10 version-control  code-security 

Webアプリケーションプロジェクトの標準を測定するためのオープンソースツールはありますか？プロジェクトを確認したい： セキュリティリークの可能性（SQLインジェクションなど） パフォーマンス 安定性（高並行環境で） およびその他の品質指標。

8 web-applications  coding-standards  code-security