چه راه هایی را برای بررسی موارد امنیتی در الکسیر و فونیکس پیشنهاد می دهید؟

اسکنر
امنیت

#1

با درود خدمت شما . همیشه یک سری از ابزار ها باعث می شوند بهبود مناسبی در روند ساخت یک اپلیکیشن بدست بیاید هرچند کم.

در جستجوی تفریحیم برای امنیت الکسیر و فونیکس به مطلب زیر برخورد کردم

https://brainlid.org/elixir/2017/06/14/security-scanning-phoenix.html

به همین منظور فکرم مشغول این شد که دوستان چه پیشنهاد هایی یا ابزار هایی برای بررسی موارد امنیتی در الکسیر و فونیکس پیشنهاد می کنند؟

با تشکر


#2

برای امنیت من پیشنهادهای بسیار کلی دارم
همیشه برنامه ها را update کنید و در جریان حفره های امنیتی باشید
از کتابخانه های معتبر برای authentication کاربر استفاده کنید
همیشه داده ورودی و چک کنید
همیشه سعی کنید تا جای ممکن از ORM یا کتابخانه ها معتبر برای کار با دیتابیس استفاده کنید از نوشتن SQL به صورت string تا جایی که میتونید خودداری کنید
اگر برنامه با چند کاربر دارید همیشه داده متعلق به کاربری برگردانید و query در اکثر مواقع باید user: current_user داشته باشه
پس از خطای عبور مکرر کاربر و برای مدت زمان حداقل ۱۵ دقیقه block کنید
به جز اینها امنیت باید در همه لایه ها صورت بگیره
هرکسی باید به داده ای که نیاز داره فقط دسترسی داشته باشه
شبکه باید encrypted باشه و فقط عده ی محدودی به سرور دسترسی داشته باشن و همه کار های deployment اتوماتیک باشه به 12 factor apps نگاه کنید
داده ی حساس مثل رمز در log و یا transit باید پاک بشه
رمز ها باید با environment variable ها کاکنند و هر environment باید کلید مخصوص خودشو داشته باشه
کد درجای عمومی زیاد نکنید وقتی از کامپیوتر در کار یا جای دیگه دور میشین صفحه رو lock کنید
امنیت یک بحث همیشگی هستش به نظر من اگر یک کتاب بخوانی یا کلاس online ببینی که با اصولش آشنا بشی بسیار کمک میکنه
امنیت بیشتر برمیگرده به ایده های کلی تا مشکل یک برنامه


#3

یک نرمافزار کاملا امن، نرمافزاریه که هنوز نوشته نشده!


#4

با درود مجدد خدمت اساتید و دوستان محترم . آیا مباحثی مناسب و روتین در مورد استراکچر هاامنیتی برای ساخت نرم افزار رو استفاده می کنید ؟ اگر به این صورت هست در صورت امکان به اشتراک قرار بدهید .

می دانیم که خیلی از مشکلاتی که در نرم افزار در مبحث امنیت پیش می آید مربوط به معماری بد در ساخت می باشد

به عنوان مثال پی دی ال زیر رو پیدا کردم که هنوز شروع به خواندنش نکردم

با تشکر امید وارم بحث های امنیتی و معماری نرم افزار در انجمن بیشتر مطرح بشه من واقعا ایده خاصی نسبت به چطور سوال کردن در این رابطه ندارم وگرنه حتما مزاحم دوستان می شدم و سوالات رو مطرح می کردم


#5

سلام، اول باید روشن بشه نرمافزارمون چیه و منظورمون از امنیت دقیقا یعنی چیه، بعد یک سری اصول پایه ای هست.
‌هرچی که کد و معماری نرمافزار ساده تر و خوانا تر باشه در نتیجه راحت تر میشه ضعف های امنیتی رو برطرف کرد.

یه نگاه کوچیک به فایل انداختم، خیلی کلی به ساختار امنیت در لایه های اصلی از زیر ساخت تا لایه های بالا اشاره کرده که خب برای این فایل درستشم همینه. جالبه اما بیشتر به درد سیستم هایی با ماهیت کوگل میخوره، شاید اون بخش Access Managment و Cloud Storage برای همه جالب باشه


#6

این لینک هم منبع خوبیه برای نکته های امنیتی web application