Комментарии 7
Ожидал увидеть методы проверки, применимые в Go, а тут только рекомендации, которые применимы ко всем языкам программирования:
пользовательские данные нужно проверять
использовать проверенные пакеты/библиотеки для шифрования
не использовать потерявшие актуальность/криптостойкость алгоритмы
Как может выглядеть плохая обработка входных данных в псевдокоде
А почему это псевдокод? Обычный код на Go.
Было бы интересно узнать про методы автоматического контроля распространенных проблем в API. Есть какие-то статические анализаторы, которые это ловят?
Привет и спасибо за вопрос!
Автоматическое сканирование API, анализ его плюсов и минусов заслуживает отдельной статьи. На данный момент мы занимаемся ручной верификацией и поисков проблем в эндпоинтах используя Swagger Inspector. Также присматриваемся к расширениям для тестирования безопасности OpenAPI от компаний 42Crunch и StackHawk.
Советовать хранить пароли как SHA256(password + salt) — это, конечно, сильно. Чем не угодили Argon2, scrypt или bcrypt?
Проверяем защищённость приложения на Go: с чего начать