Software Engineering
Her Geliştiricinin Bilmesi Gereken Güvenli Kodlama Uygulamaları
Temel güvenlik uygulamaları: girdi doğrulama, kimlik doğrulama, şifreleme ve kaçınılması gereken yaygın güvenlik açıkları.
15 Kasım 2024
2 dk okuma
Yazan: Uğur Kaval
Her Geliştiricinin Bilmesi Gereken Güvenli Kodlama Uygulamaları
Güvenlik herkesin sorumluluğudur. Güvenli kod yazmak için temel uygulamalar şunlardır.
Girdi Doğrulama
Kullanıcı Girdisine Asla Güvenmeyin
Her şeyi doğrulayın ve temizleyin:
- Tip kontrolü
- Uzunluk sınırları
- Biçim doğrulama
- Kodlama
SQL Enjeksiyonunu Önleme
SQL için her zaman parametreli sorgular kullanın, asla dize birleştirme yapmayın.
XSS Önleme
- Çıktıyı kaçış karakterleriyle işleme
- İçerik Güvenlik Politikası
- Yalnızca HTTP çerezleri
Kimlik Doğrulama
Parola Depolama
- bcrypt veya argon2 kullanın
- Asla düz metin olarak saklamayın
- Uygun tuzlama (salt) yönetimi
Oturum Yönetimi
- Güvenli oturum kimlikleri
- Uygun son kullanma
- Yalnızca HTTPS
Çok Faktörlü Kimlik Doğrulama
Hassas işlemler için MFA uygulayın.
Yetkilendirme
En Az Ayrıcalık Prensibi
Minimum gerekli izinleri verin.
Erişim Kontrolü
- Her istekte izinleri kontrol edin
- İstemci tarafı kontrollere güvenmeyin
Veri Koruma
Şifreleme
- Aktarım için TLS
- Depolama için AES
- Uygun anahtar yönetimi
Hassas Veriler
- Hassas verileri günlüğe kaydetmeyin
- Kullanıcı arayüzünde maskeleme
- Uygun imha
Yaygın Güvenlik Açıkları (OWASP Top 10)
- Enjeksiyon
- Bozuk Kimlik Doğrulama
- Hassas Veri Açığı
- XML Harici Varlıklar
- Bozuk Erişim Kontrolü
- Güvenlik Yanlış Yapılandırması
- Siteler Arası Komut Çalıştırma (Cross-Site Scripting)
- Güvenli Olmayan Serileştirme
- Bilinen Güvenlik Açıkları Olan Bileşenler
- Yetersiz Günlükleme
En İyi Uygulamalar
- Güvenlik incelemeleri: Kod incelemesine dahil edin
- Bağımlılık taraması: Güvenlik açıklarını kontrol edin
- Sızma testi: Düzenli testler yapın
- Güvenlik eğitimi: Ekibi güncel tutun
Sonuç
Güvenlik bir kontrol listesi değil, bir zihniyettir. Bunu geliştirme sürecinize dahil edin.
