​五大不良 coding 习惯,你占了几样?

最新推荐文章于 2025-07-18 15:28:13 发布
最新推荐文章于 2025-07-18 15:28:13 发布
阅读量167 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 安全 apache web安全 网络安全 反病毒
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/MachineGunJoe/article/details/126907666
本文强调了安全编码的重要性,解析了五大不良编码习惯,包括未检查复制的代码、使用已弃用的库、不受限的存储库访问、硬编码密钥及错误提示中暴露信息等问题,并提出了解决方案。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在之前的文章中,我们一起解读了2021年数据成本报告。根据 IBM 和 Ponemon Institute 2021年的报告,全球平均数据泄露成本约为424万美元。为了降低数据泄露造成的成本,企业可以通过多种方式积极主动地保护数据安全。而安全编码(Secure Coding)本身不需要任何成本,这是企业能够且应当采用的一种安全措施。

通过提高对不良编码习惯(Bad Coding Habits)的认知,企业可以开始主动关注代码的完整性。

什么是安全编码?

安全编码通过对编写代码过程的严格把控,来主动应对潜在的安全漏洞。然而安全编码不仅仅只是编写好代码,而是在安全的环境中,在安全的平台上进行开发。当然在云计算时代,平台和软件等服务都需要正确配置。

为什么安全编码很重要?

不难理解,不安全的编码会造成安全风险,尤其是数据泄露风险。当企业面临重大安全漏洞时,他们并不会总是披露安全漏洞的性质。这是因为即使企业知道是什么原因造成的,并且及时修复了漏洞,但是关于这些漏洞修复信息对于潜在的恶意攻击者来说仍然具有很高的参考价值。

数据泄露可能是最可怕且代价最大的安全漏洞。在 IBM 和 Ponemon Institute 的研究中,44% 的泄露事件中包含了客户个人身份信息(Personal Identifiable Information, PII)。每条客户 PII 记录的平均成本高达 180 美元。因此企业需要加强安全协议,而安全编码是这些安全协议的核心。换句话来说,如果没有安全编码,所有安全协议都无法保护企业最有价值的资产。

5大不良编码习惯

本文我们将着重讲解开发人员在从业早期的一些不良编码习惯行为,这些行为如果不进行及时纠正和控制,可能会造成严重的安全为题。因此,企业需要确保所有开发人员对这些不良coding行为和习惯有明确的认知,并学习如何避免这些行为出现在开发过程中。

1. 未检查复制的代码

有时开发需要一些核心功能,而正好有其他的开发人员已经对此进行多次编码,这时复制代码是一个省时省力的举措。

了解你所复制的代码,就好比查看同事的代码一样,请确保在复制代码前已经通读并充分理解。永远不要盲目相信互联网上的某个人公开的代码,切记检查和核实。

尽可能使用库(library)。在某种程度上,使用库要比复制代码更保险一些。当然开发人员也需要根据自身需求来决定。如果需要一些字符串处理功能,那么使用对应的处理字符串的库可能对项目来说是一个很好的补充。而如果只需要一个函数,那么简单的复制可能比使用整个库更加便捷。

2. 已弃用、废弃和可疑的库

在已弃用、废弃和可疑的库中有很多不良代码。有时开源代码在未经社区适当审查的情况下被打包到库中,而这可能导致代码中存在安全漏洞。这些安全漏洞没有人愿意去主动识别,更不用说去修复了。

因此,使用库时一定要确保这些库时受信任的企业或大量开发人员广泛使用和监控的库,这些库能够得到维护和定期更新。假设这个库十年没有更新,那么开发人员首先要考虑是否继续使用该库,或者在将其合并到项目之前先查看整个代码库。切忌盲目相信和使用。

3. 不受限制的存储库访问

在当今开发环境中,大家倾向于相信开发人员可以不受限制访问源代码的存储库,然而这存在重大安全漏洞。因为开发人员并不需要访问所有的内容,他们只需要访问正在处理的代码区域,有时甚至都不需要编写权限。

虽然访问受限会降低开发速度,但却能帮助企业保持代码的互不依赖性和模块化。如果开发人员只能对他们正在开发的模块进行更改,被迫和项目的其他部分保持分离,即使不考虑安全性,这也是一件对企业有利的事。

无法访问整个源代码的员工,无论是出于恶意或无意,对企业造成的损害是非常有限的,因此能提高企业系统和代码的安全性。当然即便在受限访问的策略之下,IT 部门也必须在开发人员离开企业后及时撤销起对源代码存储库的访问权限。

4. 硬编码密钥(Hardcoded Secret)

Secret 是提供应用程序到应用程序(application-to-application)访问的在线凭据。它可以是 API 密钥、云凭据、加密密钥、数据库访问详细信息等。欠缺经验的开发人员会在代码中使用纯文本密钥进行初始开发,这是一种常见的做法。然而随着开发的进行,这些 secret 会被忘记并留在那里,从而导致泄露风险。托管在 GitHub 等公共云服务上的源代码很容易被恶意攻击者利用。因此,开发人员在代码上传到云之前需要先扫描其中是否包含遗漏的 secret。

即使源代码从未公开,大多数编译后的代码也可以进行逆向工程。代码混淆(Source code obfuscation)可以帮助增加逆向工程编译代码的难度。不过,正确保管密钥才是防止泄露的最好方式哦!

5. 错误提示中暴露信息

通过参考详细的错误提示来调试代码是开发人员的日常。但这些错误提示可能为恶意攻击者的提供参考信息。因此,错误提示需要对用户有所帮助,但同时也要注意不能提供任何有关代码如何运行的任何信息!隐藏有关代码结构、数据结构和与其他软件连接的信息。与此同时,请确保及时发现和处理异常。

【网络安全学习资料领取】

总 结

通过了解这些不良编码习惯以及如何养成更好的习惯,企业就能够开发更安全的代码。有了对不当的编码行为的认知,企业可以开始试着注意开发人员目前的开发习惯,并记录下来一些可能导致安全问题的行为,与开发团队一起讨论并寻找解决方案。如果开发团队的成员都有着良好的开发习惯,那么企业的代码安全将会上升到一个新的高度。

【网络通讯与网络安全】网络通讯中的随机数如果不随机会怎么样?(RT-Thread技术论坛优秀文章)
一个专注于嵌入式IoT领域的架构师,深耕IoT领域多年,深度掌握IoT领域的相关技术栈,包括但不限于RTOS内核的实现及其移植、硬件驱动移植开发、网络通讯协议开发、编译构建原理及其实现、底层汇编及编译原理、编译优化及代码重构、嵌入式IoT系统的架构设计等。
02-28 1万+
本文从一个真实的场景案例出发,逐步向你解惑网络通讯中随机数的重要性;同时,也给大家提供了一个分析和解决这类问题的方法论,希望对大家有所启发和帮助。
基于STM32设计的水下水质检测装置(微信小程序)(205)
08-12 781
本项目设计了一款基于STM32微控制器为核心的水下水质检测设备,该设备具有高度集成化、智能化的特点,能够实时监测水深、温度、浊度及溶解性总固体(TDS)等关键水质参数,并通过4G网络将数据上传至腾讯云IOT物联网平台,实现远程监控和数据分析。同时,为了便于操作和移动观测,还配套开发了微信小程序,用户可通过微信小程序实时查看并控制设备的各项功能,如调整下潜深度等。
不良编码习惯分享
Focus的博客
08-03 312
今天做了一个很简单的任务,却发现写程序有很多不良习惯,写出来和大家分享。 1.代码不规范 常量不用全大写,大小写混杂,也没有用final修饰。 2.代码重用率不高 没有把相同效果的代码提炼出来,用一次写一次。要注意代码的精简,方便以后维护的时候一目了然。 3.不注重效率,内存,不考虑多线程 ①在循环里字符串拼接喜欢用+,其实很费内存,应该用StringBuilder.append()...
python对写作帮助_python | 关于coding写作习惯
weixin_39873208的博客
12-05 232
一 写在前面未经允许,不得转载,谢谢~~~之前自己写的code都太乱了,发表了工作都不好意思开源,模型训练和测试都是习惯手动改源码的方式来改不同的参数。这次想着学习一下,修改一下以后的coding习惯。ps: 不过这也只是我个人觉得还不错的,不一定恰好符合你的审美,coding习惯本身没有好坏之分,有自己满意的一套习惯就很????️~二 主要构成以参考GraphCMR为主,之前跑他的repo,觉得整体的...
Hardcoded 加密密钥可能会削弱系统安全性,一旦出现安全问题将无法轻易修正。
g56467467464的博客
07-03 4992
Abstract: Hardcoded 加密密钥可能会削弱系统安全性,一旦出现安全问题将无法轻易修正。 Explanation: 请勿对加密密钥进行硬编码,因为这样所有项目开发人员都能查看该加密密钥,而且还会大大增加解决问题的难度。一旦代码被使用,除非对软件进行修补,否则加密密钥将再也不能更改。如果受加密密钥保护的帐户遭受入侵,系统所有者将被迫在安全性和可用性之间做出选择。 例 1:下列代码使用了硬编码加密密钥: private static final String encryptionKey = "l.
安卓CODING
10-13
安卓开发要有好的编码习惯,本文档是描述安卓开发时候的coding规约。能够让开发人员养成好的开发习惯,提高编码质量的捷径。
Vibe Coding 新时代:AI 辅助编程完全指南
徐志平的专栏
05-03 1050
在传统编程的世界里,程序员需要掌握语法、算法和框架,一行一行地编写代码。但随着人工智能的快速发展,一种全新的编程方式正在兴起——这就是 Vibe Coding(氛围编程)。Vibe Coding 是由 AI 研究者 Andrej Karpathy 提出的概念,核心理念是"完全投入到氛围中"(fully give in to the vibes)。
Sqli - labs实战笔记
浪子燕青的博客
02-25 577
Sqli - labs 安装与lesson1-4实战 所需环境: 1. PHP 2. MYSQL 3. Apache/Nginx 以上三项Debian都自带了,2与3直接开启即可,但是有几点要注意: 1. Debian下的MySql每次登录的时候默认需要授权,即必须使用sudo,可以修改配置文件忽略默认授权,修改方法在之前的文件有提起过. 2. Apache存放文件放在/var/www/html/目录下 3. sqli-labs 使用的PHP5编写的,但是Debian默认安装PHP7,兼..
作为 IT 行业的过来人,你有什么话想对后辈说的?
易的博客
06-11 1424
程序员转型 作为 IT 行业的过来人,你有什么话想对后辈说的? - 圆胖肿的回答 - 知乎 https://www.zhihu.com/question/312019918/answer/1246349365 圆胖肿 程序猿 1,644 人赞同了该回答 给资本家做工具人不靠谱,迟早被卷 如果你是男性,我劝你早做打算,要么进体制内,要么你就想办法去卷别人。社会对女性比较宽容,菇凉们会有嫁人的备选项,而男性多半没有找富婆的条件 你想要资本主义?你会得到资本主义的一切 而要去卷别人,你首先...
ICLR 2022:PiCO,基于对比消歧的偏标签学习 丨AI Drive
shujushizhanpai的博客
05-22 1576
偏标签学习 (Partial Label Learning, PLL) 是一个经典的弱监督学习问题,它允许每个训练样本关联一个候选的标签集合,适用于许多具有标签不确定性和歧义的的现实世界数据标注场景。 然而,现存的 PLL 算法与完全监督下的方法依然存在较大差距。 针对这一现象,本期 AI Drive,浙江大学人工智能系在读博士-王皓波,解读其发表在 ICLR 2022的最新研究成果:PiCO:基于对比消歧的偏标签学习。 这项研究提出一个协同的框架,解决 PLL 中的两个关键研究挑战——表征学习和标签消歧.
良好的Coding习惯,从P3C开始--阿里P3C代码规范扫描插件
Jason_LiuMeng的博客
08-02 7151
阿里p3c(代码规范,eclipse插件、模版,idea插件) 一、说明 代码规范检查插件p3c,是根据《阿里巴巴Java开发手册》转化而成的自动化插件。 (高级黑:P-3C“Orion”,反潜巡逻机,阿里大概取p3c先进,监测,发现潜在问题的意思) 二、源码地址 https://github.com/alibaba/p3c 三、阿里巴巴Java开发手册 1、说明 《阿里巴巴Java开发手册》...
Java安全:SpringBoot项目中Fastjson组件的使用与安全实践
sinat_17584329的博客
07-17 846
本文介绍了在SpringBoot项目中集成和使用Fastjson的方法及安全实践。首先说明如何通过Maven依赖集成Fastjson,并配置为默认JSON处理器,包括日期格式化、中文处理等设置。其次演示了Fastjson的基本序列化和反序列化操作。重点分析了Fastjson存在的安全风险,如反序列化漏洞等,并提供了多项防护措施:及时更新版本、关闭AutoType功能、启用安全模式、使用反序列化过滤器和输入验证等。最后给出了最佳实践建议,并推荐了Jackson等替代方案。强调在享受Fastjson高性能的同时
禁止拖动视频进度条来保障视频安全
欢迎来到caibao的博客
07-18 488
在知识付费与企业培训场景中,视频内容安全是核心诉求。学员随意拖动进度条可能导致关键知识点遗漏,甚至助长盗录行为。本文深入解析HTML5播放器禁止拖拽进度条的技术方案,通过精准控制播放行为保障学习效果与内容安全。以企业培训、在线教育为例,探讨如何借助技术手段平衡用户体验与内容防护,为开发者提供可直接落地的代码实例。禁止拖动进度条是企业级视频安全的刚需功能,前端代码方案虽简易但存在安全缺口。真正的视频防护需从前端播放控制、内容加密、行为追踪三维发力。
视频安全新思路:VRM视频分片错序加密技术
iphone108的博客
07-17 694
在视频内容爆炸式增长的时代,盗录、非法传播和恶意篡改等问题日益猖獗,传统加密方案(如AES、DRM)虽能提供基础保护,却难以应对高级攻击手段。如果您正在寻找比传统DRM更主动的防护方案,VRM视频分片错序加密或许是下一代选择。今天这篇文章将详细介绍VRM视频分片错序技术。
打造风险评估体系,筑牢城市安全基石
HopeTop_20130827的博客
07-17 857
作为中国领先的基础设施智能化综合服务提供商,众智鸿图「城市生命线安全风险评估解决方案」,积极响应国家住房和城乡建设部城市基础设施生命线安全工程的指导意见,针对城市燃气、供水、排水、桥梁、隧道、热力等关键基础设施,开展系统性风险评估工作。城市生命线安全风险评估报告,全面、客观、准确反映城市生命线安全风险评估工作的总结性材料。按照部委建设指南,结合各地行动方案、导则等相关标准规范,聚焦城市“三高”区域,开展评估工作,摸清安全风险底数,编制风险清单、评估报告、工作方案、电子四色图。
Supermium浏览器:高效、安全、个性化的上网选择
2501_90839605的博客
07-16 631
Supermium浏览器是一款基于Chromium内核的现代化浏览器,它继承了Chromium内核的快速加载和稳定性,同时通过一系列独特的功能和优化,为用户提供了更加高效、安全和个性化的浏览体验。(一)快速页面加载Supermium浏览器继承了Chromium内核的快速加载特性,能够迅速打开网页,无论是新闻网站、社交媒体平台还是复杂的在线应用,都能在短时间内完成加载,让用户无需长时间等待。例如,当你不小心点击了一个可疑链接时,Supermium浏览器会自动发出警告,阻止你进入该网站,确保你的设备安全
智能视频分析:多行业安全防控的“AI之眼”
Flp27972732的博客
07-17 330
智能视频分析系统为化工、矿山、燃气等高危行业提供AI安全防控解决方案,通过人员行为监测、设备状态预警、环境风险识别三大核心能力,实现风险秒级响应与合规管理。支持多模态数据融合及跨行业场景适配,助力企业降低事故率,提升安全生产智能化水平。
车载监控录像系统:智能安全驾驶的守护者
最新发布
索迪迈科技
07-18 446
车载监控录像系统已从简单的记录设备发展为智能交通生态系统的重要组成部分,不仅为个体车主提供安全保障,更为企业车队管理和城市智慧交通建设提供了数据支持。选择适合的车载监控解决方案,将成为现代车辆安全管理的标准配置。
coding render是什么含义呢?
03-16
<think>好的,用户问的是“coding render是什么含义”。首先,我需要明确这两个词各自的含义以及它们组合在一起可能的意思。 “Coding”通常指编写代码或编程,涉及软件开发、算法实现等。而“Render”在计算机领域一般翻译为“渲染”,比如图形渲染、网页渲染等,指生成图像或页面的过程。不过,“render”有时也有“呈现”或“转换”的意思,比如将数据转换为可视化内容。 接下来,我需要考虑这两个词组合在一起的可能场景。可能有以下几种情况: 1. **代码渲染(Code Rendering)**:指在开发工具或网页中实时显示代码的样式,比如语法高亮、代码格式化后的展示。例如,Markdown编辑器中的代码块渲染。 2. **编程生成内容(Coding to Render)**:通过编写代码来生成图形、动画或可视化效果。比如使用Three.js进行3D渲染,或者用Matplotlib绘制图表。 3. **服务器端渲染与代码(Server-Side Rendering, SSR)**:在Web开发中,服务器生成HTML内容后再发送给客户端,可能与代码执行有关,如Next.js、Nuxt.js等框架的处理。 4. **渲染引擎中的编码Coding for Render Engines)**:开发或优化渲染引擎时需要编写底层代码,比如游戏引擎中的着色器编程。 然后,我需要验证这些可能性是否常见,是否在技术社区中有相关讨论。例如,前端开发中的SSR常被提及,而代码渲染在IDE中很常见。此外,图形编程中的渲染确实需要编写代码。 可能用户是在某个特定上下文中遇到这个词,比如文档或教程,需要进一步确认。但根据现有信息,应涵盖主要方面,并建议用户提供更多上下文以便更精准的解释。 最后,要确保回答结构清晰,分点说明不同场景,用例子帮助理解,同时保持口语化,避免技术术语过多导致理解困难。</think>以下是对“coding render”含义的分步解释: 1️⃣ **分拆理解** - **Coding编码/编程)**:指编写计算机程序、算法或脚本的行为。 - **Render(渲染/呈现)**:指将数据/代码转换为可视化结果的过程。 2️⃣ **组合含义的可能场景** 🔹 **场景1:代码可视化渲染** - 在开发工具(如IDE、Jupyter Notebook)中,将代码**格式化展示**(如语法高亮、缩进优化)。 - 示例:Markdown中的代码块渲染 ```markdown ````python print("Hello World") # 会被渲染为带语法高亮的代码 ```` 🔹 **场景2:通过编程生成图形** - 用代码驱动**图形/动画生成** - 常见工具:Three.js(WebGL)、Blender脚本、Matplotlib - 示例代码: ```python import matplotlib.pyplot as plt plt.plot([1,2,3], [4,5,1]) # 这段代码会被渲染为折线图 plt.show() ``` 🔹 **场景3:服务器端渲染(SSR)** - 在Web开发中,通过代码**生成完整HTML页面**后发送给浏览器 - 框架举例:Next.js(React)、Nuxt.js(Vue) - 流程: ```mermaid graph LR A[服务器执行代码] --> B[生成HTML] B --> C[浏览器显示完整页面] ``` 🔹 **场景4:实时图形渲染编程** - 编写着色器(Shader)代码控制GPU渲染 - 例如:Unity的C#脚本控制3D模型渲染 ```hlsl // GLSL着色器代码示例 void main() { gl_FragColor = vec4(1.0, 0.0, 0.0, 1.0); // 渲染为红色 } ``` 3️⃣ **核心共性** 所有场景都包含两个关键过程: 1. 编写结构化代码(coding) 2. 将代码转换为可感知的输出(render) 4️⃣ **如何确定具体含义?** 建议结合上下文判断: - 若涉及网页开发 → 可能指SSR - 若涉及数据可视化 → 可能是代码生成图表 - 若讨论游戏/3D图形 → 可能指着色器编程 是否需要针对某个具体使用场景进一步说明?可以补充上下文信息以便提供更精准的解释。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

AI小模型

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值