问题标签 [secure-coding]

我只是想知道是否有人可以向我指出 RPG 和 CL 的安全编码资源。（在 iSeries 中的 RPG，而不是角色扮演游戏）。

我可以毫不费力地找到涵盖通用安全编码准则的资源，这些资源非常好。我还可以找到针对 .NET、Java 或几乎任何其他现代语言的特定指南，其中涵盖了特定语言的最佳实践。（例如，正确使用 .NET 中的验证控件等） 但是，我似乎找不到任何特定于 RPG 编程的好资源。

我之所以这么问，是因为我来自一个混合环境，其中 .NET 代码经常调用 iSeries 代码。大多数情况下，iSeries 代码以 RPG 或 CL 程序的形式“包装”成看起来像存储过程。我正在为整个团队编写安全编码实践文档和策略，我无法为我们的 iSeries 开发人员找到好的资源，即使在 IBM 站点上也是如此。

我希望一两个有经验的 iSeries 开发人员可以为我指出关于该主题的好文章或红皮书。

编辑

我可能看错了。我还对有关 DB2 安全性以及操作系统提供的安全性的文档感兴趣。

我正在寻找 C++ 中安全编码实践的综合记录。由于我还没有在这里找到这样的列表，我们不妨把它变成一个社区 wiki，以供进一步参考。我正在寻找安全问题的解决方案，例如基于堆栈和堆的缓冲区溢出和下溢、整数溢出和下溢、格式字符串攻击、空指针取消引用、堆/内存检查攻击等。

注意：除了编码实践之外，防御此类攻击的安全库也值得一提。

LE：正如 MSalters 在评论中所建议的，这个问题已被分成两个单独的问题，一个针对 C++，一个针对 C。另请参阅Secure C coding practice。

我正在寻找 C 中安全编码实践的综合记录。由于我还没有在这里找到这样的列表，我们不妨将其放入社区 wiki，以供进一步参考。我正在寻找安全问题的解决方案，例如基于堆栈和堆的缓冲区溢出和下溢、整数溢出和下溢、格式字符串攻击、空指针取消引用、堆/内存检查攻击等。

注意：除了编码实践之外，防御此类攻击的安全库也值得一提。

LE：正如在这个问题中看到的那样Secure C++ coding practice but for C only。

我正在使用 FlowPlayer 使用来自 Wowza 的 RTMP 使用 Amazon EC2 实例对存储在 Amazon S3 存储桶中的文件进行流式传输。我希望流媒体是安全的。在 Flow Player 中，我们可以做到这一点。安全流媒体

如果我们如图所示在 javascript 中包含秘密令牌，任何人都可以轻松读取它。所以它不是那么安全。提到的另一种方法是编译 FlowPlayer 源文件。我找不到任何关于此的教程。谁能告诉我要编辑哪个文件以及要编辑什么？

通过 https 加密的表单数据是否可以在 firebug 中看到？我对其进行了测试，但萤火虫向我展示了纯文本发布的参数。

一个人如何存储敏感数据（例如：密码）std::string？

我有一个应用程序提示用户输入密码并在连接设置期间将其传递给下游服务器。我想在建立连接后安全地清除密码值。

如果我将密码存储为char *数组，我可以使用SecureZeroMemory之类的 API 从进程内存中删除敏感数据。但是，我想在我的代码中避免使用 char 数组，并且正在寻找类似的东西std::string？

Android 平台是否有任何专注于安全性的良好编码指南？

谢谢

是否有mkdir()C 的安全替代方案？我正在检查一些代码，并注意到它正在使用对mkdir(). 根据我在 US-CERT 安全编码网站上阅读的内容，使用该功能使其容易受到“检查时间，使用时间”（TOCTOU）的影响。

编辑

来自 zlib 的 miniunz.c 源

以上mkdir就是我所指的。

我想知道这两个选项中哪一个更安全：

1. sprintf(buff, "%.*s", MAXLEN, name)

2. snprintf(buff, MAXLEN, "%s", name)

我的理解是两者都是一样的。请建议。

所以，因为字符串是不可变的，所以我们使用 char[] 而不是 String 来存储密码，这样我们就可以在完成后擦除字符。在这种情况下，StringBuilder（或 StringBuffer）是否与 char[] 一样安全，因为可以将密码值更改为“”？