دفاعية البرمجة ضد الهجمات الخبيثة [مغلقة]
-
07-07-2019 - |
سؤال
الشركة التي أعمل تطوير في المنزل المنتج للاستخدام الخارجي.
المنتج سوف يكون في البداية وضعت في C# باستخدام WPF, ثم استدار إلى سيلفرلايت.
واحدة من نقاط التركيز هو الترميز ضد الهجمات الخبيثة مثلحقن SQL.... الخ
الأسئلة:
- يمكن لأي شخص أن يوصي عناوين url التي تشير إلى المقالات على الأمن 'أفضل الممارسات'.
- يمكن لأي شخص أن يوصي تحليل أداة تحليل التعليمات البرمجية لتحديد نقاط الضعف.ونحن من شأنه ، إذا كان ذلك ممكنا ، مثل إدراج الأداة في التكامل المستمر البرامج النصية.
المحلول
تحاول المقالة التالية في MSDN: الأمن (كيف يمكنني في C#).
نصائح أخرى
أفضل مورد لقد وجدت هنا:
http://www.owasp.org/index.php/Main_Page
في هذا الموقع, سوف تبدأ هنا:
http://www.owasp.org/index.php/Top_10_2007
أعلى 10 على موقع الضعف ، ولكن المفاهيم تنطبق على جميع أنواع التطبيقات.في رأيي الشخصي, كنت حقا لا تستطيع أن تفعل أفضل نقطة انطلاق عندما يتعلق الأمر التعلم عن تأمين الترميز.
هذا الموقع يوفر أفضل الممارسات والأدوات حقا يجعل كل شيء مفهوم بغض النظر عن مستوى المهارات الخاصة بك.
*وأضاف *
جيد آخر هو مورد وثائق MSDN لأن سؤالك يوصف C#.
أعتقد بدءا من تأمين التنمية يعني ثلاث خطوات:
تحديد وفهم الصورة الكبيرة:ما يمكن أن تذهب الخطأ
وهذا يعني فهم الجوانب التقنية من الضعف و كيف يساعد على جعل الأمور تسوء.
عادة كنت أذهب مع OWASP أفضل 10 تطبيقات الويب من الثغرات الأمنية (جوجل:owasp أعلى 10 2007).
إذا كنت لا أفهم ذلك ، ثم فضلك اسأل عن التوجيه.فهم مثل هذه الوثيقة لا مباشرة يقول لك كيفية بناء secure code وإنما هو مؤشر جيد على مستوى التفاهم على تأمين التنمية.
تجد عامة جيدة الممارسات التي تؤدي إلى تأمين التنمية
في حين أن العديد من الوثائق أقول لك كيف تسير الامور قد تسوء ، قلة الموارد فعلا اقول لكم كيفية تجنب لهم في الطريق العام.
حاليا, كنت في الغالب يوصي هذه الموارد:
- ديفيد الغراب "آمنة مبادئ التنمية" (google:ديفيد الغراب مبادئ تأمين التنمية)
- OWASP أعلى 10 نقاط الضعف قسم حماية الصفحات (كل دخول للنقر على النسخة الإلكترونية من أكبر 10)
العثور على الموارد مصممة خصيصا التكنولوجيا الخاصة بك
الحصول على الوصول إلى الموارد التي أقول لك "كيف أفعل هذا" في اللغة التي تتكلم.عادة, C#.MSDN بوابة توفر للمطورين مع الأمن العديد من قوائم (http://msdn.microsoft.com/en-us/library/ms998408.aspx).
وأخيرا نصل الى ذلك:الاتصال مدخلات منتظمة على تطبيق الأمن, العثور على بلوق, قراءة الأخبار (بناء تنبيهات جوجل مع بعض نقاط الضعف أسماء أو كلمات مثل 'أمان التطبيق" أو "تأمين التنمية') ونرى ما سيحدث.
آمل أن يساعد.
sb
PS:آسف على 'جوجل' روابط, أنا مستخدم جديد و لا يمكن إلا بعد 1 url في إجاباتي :(