Consignes de sécurité à l'adresse des Dev
Vous avez déjà lu Consignes de sécurité générique et Consignes de sécurité supplémentaires ? Vous souhaitez proposer votre code à Khaganat ? Voici quelques consignes de sécurité en plus, rien de trop énorme…
- Suivez les règles pour pusher sur git : Contribuer : les dépôts du projet Khaganat
- Ne mergez aucun code sur votre branche principale avant de l'avoir relu et de vous être assuré qu'il n'y avait pas de truc “bizarre”, surtout si vous ne connaissez pas très bien la personne qui vous propose ce code.
- Comme il n'est pas possible de tout voir, apprenez à utiliser les outils d'assistance de votre langage.
- Tenez-vous au courant des risques propres au langage que vous utilisez (buffer overflow sur le C, injections sur les langages web… surveillez l'OWASP top 10) et appliquez les bonnes pratiques lorsque vous codez.
Sur du C1), pensez à utiliser des logiciels comme StackGuard, StackShield, SmashGuard. Sans oublier de tester avec valgrind.
Sur tous les langages web, veillez à vérifier les chaînes envoyés par les utilisateurs afin d'éviter les failles XSS.
Partagez ici les outils propres aux langages que vous connaissez, qui permettent de limiter les injections de codes malveillants.
Si vous constatez une faille :
- Créez un ticket privé
- Tentez de la corriger en priorité. Si vous n'en avez pas les compétences, essayez de voir qui les as.
- Prévenez les administratrices, qui pourront prendre les mesures pour limiter la casse, avertir les utilisatrices, etc.
1)
Ça marche aussi sur le C++ ?