Questions tagged «code-security»

我知道有些人目前正在为美国军方项目（安全级别低，非战斗人力资源类型数据）进行工作。 项目代码的初始状态已提交给军方进行审查，然后他们通过某种安全分析器工具运行了该程序。它返回了代码中已知安全问题的报告，并要求进行更改，这些更改需要在交付最终产品之前实施。 需要解决的项目之一是删除一部分用Ruby编写的项目，因为它是一种动态语言。 不允许在安全设置中使用动态语言的背景/原因是什么？这是政府采用新技术的速度缓慢吗？还是与静态语言（ala C ++或Java）相比，动态语言会带来额外的安全风险？

120 code-security  dynamic-languages  government 

我正在考虑使用sourceforge，bitbucket或github管理我的业务的源代码控制。我有开放项目，并且参与过gcc等开放项目。但是我也有一家公司，我为自己的生活开发开源软件。 Sourceforge，github或bitbucket在保持软件安全以防窥视方面值得信赖吗？在防止数据丢失方面，主机的稳定性如何？有没有人以这样的服装来建立他们的业务逻辑？有没有人调查过几种托管解决方案？

32 version-control  github  project-hosting  code-security  bitbucket 

我正在用Python构建一个相当复杂的解释程序。几个月以来，我一直在为大多数其他目的使用此代码，因此，我不希望我的客户能够简单地复制并尝试出售它，因为我认为这是值得的。 问题是我需要脚本在客户端付费的服务器上运行，因此有什么方法可以保护我机器上的特定文件夹免受root用户访问，或者使之只能使某个特定用途可以访问目录？操作系统是Ubuntu。

16 python  code-security 

我继承了一些项目，其中秘密位于App.config和类似文件的源代码控制中。幸运的是，它不是公共存储库，因此风险并不像以前那样严重。我正在寻找更好的方法来管理此问题，例如Azure KeyVault。（但我不希望这个问题专门针对该解决方案。） 总的来说，我们不只是解决问题吗？例如，使用Azure KeyVault，应用程序ID和应用程序秘密成为您不受源代码控制的事情。这是一个不幸的典型例子，说明这种情况容易出错。其他方法最终都变得相似，其中包含您必须保护的API密钥或密钥库文件。 在我看来，像Azure KeyVault这样的产品没有比将您的秘密保存在单独的配置文件中并确保它位于您的.gitignore或等效文件中更好，并且毫无意义地更复杂。该文件必须根据需要通过边信道共享。当然，人们可能会不安全地将其通过电子邮件相互发送给对方... 有没有一种方法可以管理秘密，而不仅仅是解决问题？我相信这个问题有一个明确定义的答案。以此类推，如果我要问HTTPS不仅能解决问题，答案是CA密钥随您的OS一起分发，而我们信任它们是因为我们信任OS的分发方法。（我们是否应该单独提出一个问题...）

10 version-control  code-security