Kokie yra pagrindiniai saugios kodavimo metodai?

Question

Accepted Answer

**Saugus kodavimas** reiškia kodo rašymą, kuris atsispiria atakoms ir apsaugo duomenis — laikantis metodų, kurie neleidžia dažniausiai pasitaikantiems pažeidumams. Pagrindinių metodų supratimas padeda kūrėjams nuo pat pradžios įtaisyti saugumą, o ne jį vėliau prijungti.

## Pagrindiniai saugios kodavimo metodai

```text
✓ VALIDATE all input (never trust user/external input); allowlist where possible
✓ Use PARAMETERIZED queries (prevent SQL injection); ESCAPE output (prevent XSS)
✓ AUTHENTICATE and AUTHORIZE properly (verify identity; check permissions server-side)
✓ HANDLE SENSITIVE DATA carefully — hash passwords, encrypt sensitive data, use HTTPS
✓ Don't HARDCODE SECRETS (keys, passwords) in code → use env vars / secrets managers
✓ Use SECURE DEFAULTS; fail securely (errors shouldn't expose data or grant access)
```

## Išvenkite dažnų klaidų

```text
✗ Trusting user input / client-side checks (validate on the SERVER)
✗ Exposing sensitive info in errors/logs (stack traces, secrets, PII)
✗ Using outdated/vulnerable DEPENDENCIES (keep them updated; scan them)
✗ Rolling your own CRYPTO (use vetted libraries/standards, not custom algorithms)
✗ Overly broad permissions (apply LEAST PRIVILEGE)
```

## Saugumo principai

```text
✓ LEAST PRIVILEGE → grant only the minimum access needed (limit damage)
✓ DEFENSE IN DEPTH → multiple layers (no single point of failure)
✓ FAIL SECURELY → on error, default to denying access / safe state
✓ KEEP IT SIMPLE → complex code hides bugs/vulnerabilities
✓ SECURITY BY DESIGN → build it in from the start (shift left), not as an afterthought
```

## Kodėl tai svarbu

Pagrindinių saugios kodavimo metodų supratimas yra pagrindinis, nes **kūrėjai rašo kodą, kuris yra saugus arba pažeidžiamas**, todėl saugų metodų taikymas yra būtinas norint sukurti saugią programinę įrangą, todėl tai yra svarbus saugumo žinojimas.

Saugus kodavimas — kodo rašymas, kuris atsispiria atakoms ir apsaugo duomenis — vis labiau tampa pagrindinė kūrėjo atsakomybe, ir pagrindinių metodų supratimas leidžia nuo pat pradžios įtaisyti saugumą.

**Pagrindiniai metodai** — įvesties tikrinimas (niekada nepasitikėti išorine įveste), parametrizuotos užklausos (SQL injekcijos prevencija) ir išvesties diakritikas (XSS prevencija), tinkamas autentifikavimas ir autorizacija (serverio pusėje), atidus jautrios informacijos tvarkymas (slaptažodžių šifracija, šifravimas, HTTPS), **neslaptažodžių hardkodavimas** (aplinkos kintamųjų ar slaptažodžio tvarkytuvų naudojimas — dažna klaida) ir saugūs numatyti nustatymai, kurie nesėkmingai apriboja prieigą — tiesiogiai prevencija labiausiai paplitusių pažeidumų.

Dažnų **klaidų, kurių reikia išvengti**, supratimas — kliento pusės patikrinimams pasitikėti, jautrios informacijos iš klaidos pranešimų ir žurnalų iškišimas, pasenusių/pažeidžiamų priklausomybių naudojimas, **savos kriptografijos rašymas** (garsus nepasisekimas — patikrintų bibliotekų naudojimas) ir perankščios leidimai — padeda kūrėjams išvengti dažnų saugumo klaidų.

**Saugumo principų** — **mažiausio privilegijimo** (minimali reikalinga prieiga, žalos ribojimas), **gynybos gylumą** (daugialygiai, nėra vieno gedimo taško), **nesėkmingą saugumą** (numatytoji žalos prieigos draudimas), paprastumą (sudėtingumas slepia pažeidimus) ir **saugumą pagal projektą** (jį nuo pat pradžios statant) — supratimas suteikia nuovoką ir sistemą, kuri yra visų saugios kodavimo pagrindas.

Šie principai ir metodai atspindi, kaip dirba saugumą sąmoniai turintys kūrėjai.

Kadangi kūrėjai rašo kodą, kuris nulemia, ar programinė įranga yra saugi, ir kadangi pagrindinių saugios kodavimo metodų (įvesties tikrinimas, parametrizuotos užklausos, tinkamas autentifikavimas, slaptažodžio valdymas) ir principų (mažiausias privilegijimas, gynybos gylumas, saugumas pagal projektą) taikymas prevencija dažnus pažeidimus, ir kadangi jų supratimas yra būtinas norint sukurti saugią programinę įrangą, pagrindinių saugios kodavimo metodų supratimas yra pagrindinis, būtinas saugumo žinojimas — metodai ir principai, kurie leidžia kūrėjams įtaisyti saugumą savo kode, vis labiau tikėtinas iš visų kūrėjų ir centrinis saugios programinės įrangos, kuri apsaugo jos naudotojus ir duomenis, sukūrimas.