Paket programlardaki guvenlik aciklari uzerine genel olarak yazmak istemiyorum. Benim asil deginmek istedigim konu satin alinan veya ozel olarak yazdirilan paket programlardaki guvenlik aciklari. Eger yazilimi aldiginiz sirket kaliteli kod uretiyorsa ise “Sql Sorgu Sızması” yada “Capraz Site Betik Calıstırılması” ataklarindan kolayca kurtulacaktir.
Paket programlar zaman icinde isteklerimize cevap veremeyecek hale gelecek ve projeyi gelistirmek isteyecegiz. Bu yeni ek moduller icin ise, piyasanin durumunu goz onune alirsak, genellikle yeni mezun olmus bir yazilim programcisini/muhendisini gorevlendirecegiz.
Aldigimiz yazilimcinin daha once benzer projelerde ( ki genellikle ) tecrubesi yoktur ve onune verilen isi en kisa zamanda gelistirmesi beklenmektedir.
Almis oldugunuz paket programa yeni yazmis/yazdirmis oldugunuz modulleri eklemeden once guvenlik aciklarinin olup olmadigini yada projenin davranisinin kararli oldugundan emin olana kadar yeteri kadar test yapilmasi gerekmektedir. Sonucta her insan hata yapabilir. Buyuk olasilikla testler yapilmadan kullanima acilir ve sonucta pek de hos olmayan sonuclarla karsilasabiliriz.
Dikkat etmeniz gerekenler ise
- Sql Sorgu Sızması (Sql injection)
- Capraz Site Betik Calıstırılması (Cross Site Scripting )
- Hafiza tasmalari ( Bufferoverflow)
- Ayrilmamis bellek hatalari (null)
- Olusan hatalarin kullaniciya verilmemesi (en azindan).
