mapreduce编程实践_2019年十大Python安全最佳实践

在寂静的戈佐岛上，安全并不是一个大问题。游客可以把行李放在沙滩上，去探险，不用担心东西被偷。然而，在我的家乡，我们说“如果你不绑好，它就不是你的。”所有的东西都可能被偷。同样，互联网是世界上最大、最繁忙的城市！如果它可以被读取、复制、写入或注入 SQL，那么它就不再是你的了。

入门其实很容易，但是学习要坚持，每天坚持是很难的，相信很多人学了一个星期就放弃了，为什么呢？其实没有好的学习资料，你很难坚持下去。这是小编收集的入门学习资料，关注、转发、私信给小编“01”即可免费领取！希望对大家有帮助

虽然编写不受任何外部攻击的代码可能很困难，但从长远来看，它应该会让我们的生活更轻松。即使是一个简单的应用程序，让用户了解无辜的本地事件，有时也会有坏人把它变成网络钓鱼骗局，从养老基金中骗取资金。那么你能做些什么来防止这种情况发生呢？

实现此目的的方法之一是遵循为您的应用程序编写安全代码的最佳实践 - 甚至在您的日历上标记每月至少阅读一篇新文章。在这篇文章中，我们将介绍十大安全最佳实践，从最容易实现的开始，然后介绍在您的代码中最难实现的。

安全最佳实践

以下是您现在需要开始使用的十大最佳安全实践。

1. 使用最新版本

2.7 版于 2008 年 12 月发布，但有些人仍在项目中使用早期版本。其中一个问题是 2.7 版及更高版本没有与 2.7 版相同的安全更新。例如，2.7 版中的输入法和异常链得到了改进。如果您在 2.7 版中运行 2.7 版中编写的代码，则可能可以利用输入法。

此外，.7 将在 2020 年失去支持，因此如果你过于依赖 .7 而无法扩展到 3，你最终将不得不这样做。使用早期版本部署的应用程序越多，你将来需要更新它们的可能性就越大。难度越大。

如果您需要有关最新版本的信息，请查看最新版本。如果您不确定当前使用的是哪个版本，请在本地计算机上运行以下命令进行检查：

--

现在我们有了最新版本，让我们创建一个安全的虚拟环境。

2. 使用虚拟环境

不要在计算机上全局安装软件包，而是为每个项目使用虚拟环境。这意味着，如果您在一个项目中安装了包含恶意代码的软件包依赖项，它不会影响其他项目。彼此隔离。

通过为特定项目中使用的包创建单独的文件夹来支持隔离环境。

安装以下设备：

点子

在项目位置激活它：

venv\\.bat

或者，您也可以研究 ，它有更多用于开发安全应用程序的工具。

3.设置调试=FALSE

在处理项目时，默认情况下将调试设置为 true。这在我们处理项目时很有用，因为它会显示代码中的错误。但是，当我们将项目部署到可供公众使用的服务器时，当公开显示代码中的错误可能会暴露我们的安全漏洞并被利用时，这不太有用。

因此，动态部署时，请始终设置以下内容：

调试 = false

您可以找到 Debug .py。

4.不要提交任何带有密码的东西。

假设大多数开发人员都在使用它，请仔细检查您是否已提交包含密码的文件、 或 URL 描述。一旦提交给或类似服务，密码将始终存在于日志或数据库中，任何人都可以找到。例如，在 2019 年 5 月，一名黑客从存储库中窃取了数百个以纯文本形式存储的密码，并要求每人支付 0.1 比特币的赎金。

有意识地避免在源代码中添加密码或 API 密钥。

Check 有助于防止密码或其他敏感信息被提交。

5. 小心有毒包裹

对于大多数程序员来说，编程语言的强大程度取决于其库。有几个令人印象深刻的库可以用 Pip 轻松安装。

请仔细检查您使用的软件包是否合法且已更新。Node.js 和 Node.js 可能会安装包含恶意代码的软件包。请检查每个软件包的名称是否正确。“007”与“0007”完全不同。

除了仔细检查软件包名称之外，您还可以使用类似平台检查应用程序中是否存在恶意代码，以及是否存在已知问题或版本过时的合法软件包。查看他们的应用程序安全管理解决方案，为您的应用程序提供更高的可见性并保护它们免受触发漏洞的攻击。

6.检查导入路径

导入路径有三种类型：绝对路径、相对路径和隐式导入路径。

隐式路径意味着包的地址不具体。因此，此程序使用系统上某处同名的模块。这可能会安装带有恶意代码的包。该包中有很多木马病毒，尤其是在 PyPI 上。此外，还有一些病毒一年来都没有被发现。

相反，使用绝对路径可以避免这种混淆。只要使用包的完整地址，我们就知道要使用的包是正确的，并且已经检查过恶意代码。这是最安全的方法。

从

相对路径表示模块相对于当前文件夹的位置。

从 ..

7. 防止 SQL 注入

那么到底是什么样的人会将 SQL 注入数据库呢？某个服务器上的某个机器人会关闭数百万个编程不良的网站，希望有足够多的人点击他们的联盟链接。

此外，SQL 注入还会从不安全的表中删除敏感数据。因此，请认真对待 SQL 注入并遵循最新的程序来保护您的数据库免受 SQL 注入的侵害。

SQL 注入已知可以通过多种插件暴露用户的敏感数据，甚至印度政府也从一个公交车票预订网站暴露了他们的数据库。它仍然位列 OWASP 前十名是有原因的。

8. 使用 进行加密

正如上一篇文章所强调的那样，停止使用 加密工具包。有人指出存在一个漏洞，但自那时起，没有发布任何安全更新来修复该问题。事实上，该项目已经多年没有更新了。

但这很酷。只需改为使用：

点子

9. 使用

为每个项目安装软件包。扫描代码以查找众所周知的漏洞，例如 YAML 的常见问题。它会将安全风险从低到高进行排序，并告诉您问题所在的代码行。

pip install bandit
bandit path/project.py

扫描选定的文件并以抽象语法树的形式显示报告。

快速、易于使用，强烈推荐。

10. 保持服务器更新

有时，潜在的危险与代码无关，而是与服务器有关。您必须检查所有软件是否已更新并与代码兼容。一个随机的人为错误可能会毁掉经过多年规划的工作。因此，请确保软件和安全管理系统是最新的。

概括

希望您觉得这份十大安全最佳实践列表很有用。它在网络安全领域如此受欢迎的原因有几个。

因此，编写应用程序时必须将安全性和尊重用户隐私放在首位。互联网安全形势瞬息万变，似乎编程语言越复杂，就越容易发现漏洞。

弄清楚如何使您的应用程序更安全可能很难，但遵循这十大最佳安全实践并跟上对网络安全的进一步研究可能会有所帮助。