máj 10. 2023

Bezpečnostné odporúčania: Inštalácia a používanie softvéru

V štvrtej časti série bezpečnostných odporúčaní si vysvetlíme, na čo si treba dať pozor pri inštalácii softvéru a softvérových balíkov.

Prečo je to dôležité?

Vaše zariadenie, osobné údaje alebo údaje spoločnosti môžu byť ohrozené, ak používate zastaralý softvér, zastaralý operačný systém, softvér nainštalovaný z nedôveryhodných zdrojov alebo ak sťahujete údaje z nedôveryhodných zdrojov.

Čo robiť:

1. Pravidelne aktualizuje svoje programy a aplikácie.

  • Väčšina programov má funkciu automatického sťahovania a inštalovania aktualizácií.
  • Medzi výnimky patria niektoré kombinácie softvérových knižníc, ktoré vyžadujú staršie verzie na zabezpečenie vzájomnej kompatibility.

2. Pravidelne aktualizujte svoj operačný systém.

  • V opačnom prípade je váš systém zraniteľný voči škodlivým programom.

3. Na firemných alebo súkromných zariadeniach určených na prácu nepoužívajte nelegálny softvér.

  • Okrem toho, že sa môžete dostať do problémov so zákonom, nelegálne získaný softvér môže obsahovať malware.
  • Vo vlastnom záujme a s ohľadom na právne dôsledky, nelegálny softvér vôbec nepoužívajte.

4. Sťahujte softvér z dôveryhodných zdrojov.

  • Softvér alebo knižnice odporúčame sťahovať z oficiálnych stránok, repozitárov a balíkov.

5. Pri inštalácii menej známych softvérových balíkov alebo knižníc si skontrolujte ich názov, aby ste sa nestali obeťou typosquattingového útoku.

Verzovanie

6. Chráňte hlavnú vetvu svojho repozitáru kódu.

  • Typické pravidlá ochrany hlavnej vetvy:
    • pri intenzívnej práci vo väčšom tíme zabráňte priamemu posielaniu súborov (používajte tzv. “Pull request”).
    • zabráňte force-pushing-u (napr. pomocou git push -f).

7. Prideľte používateľom prístupové práva k repozitáru kódu.

  • Nie všetci používatelia by mali mať rovnaké možnosti, napr. mazať, premenovávať alebo pridávať/odstraňovať spolupracovníkov.

8. Vyhnite sa používaniu súkromnej emailovej adresy na posielanie správ.

  • Používajte firemnú emailovú adresu. Ak vaša spoločnosť používa na verzovanie GitHub, máte možnosť využiť funkciu na vytvorenie emailovej adresy bez možnosti odpovede, ktorá skryje vašu súkromnú adresu.

Používanie knižníc a nástrojov súvisiacich s AI

9. V prípade Pythonu si dávajte pozor na súbory načítané prostredníctvom modulu pickle, ktoré ste nevytvorili alebo ktorým nedôverujete.

  • To platí aj pre všetky knižnice, ktoré interne používajú pickle, napr. načítavanie Pandas DataFrames, ktoré sú uložené v súboroch pickle.

Čítať viac