悪意のある攻撃に対する防御的なプログラミング[終了]
-
07-07-2019 - |
質問
私が勤務している会社は、社外向けに社内製品を再開発しています。
製品は、最初はWPFを使用してC#で開発され、その後Silverlightに移植されます。
フォーカスポイントの1つは、悪意のある攻撃に対するコーディングです。 SQLインジェクションなど
質問:
- セキュリティの「ベストプラクティス」に関する記事を指すURLを誰でも推奨できますか。
- 誰でもコードを分析して弱点を特定するための分析ツールを推奨できますか?可能であれば、継続的統合スクリプトにツールを含めたいと思います。
解決
MSDNの次の記事を試してください:セキュリティ(C#での操作方法) 。
他のヒント
私が見つけた最高のリソースはこちらです:
http://www.owasp.org/index.php/Main_Page
そのサイト内で、ここから始めます:
http://www.owasp.org/index.php/Top_10_2007
トップ10はWebサイトの脆弱性に関するものですが、概念はすべての種類のアプリに適用されます。私個人の意見では、安全なコーディングについて学ぶことに関しては、出発点で本当に良いことはできません。
このサイトでは、ベストプラクティス、ツールを提供し、スキルレベルに関係なくすべてを理解できるようにします。
*追加*
もう1つの優れたリソースは、MSDNドキュメントです。質問にはC#のタグが付けられています。
安全な開発から始めることは、3つのステップを意味すると思います:
全体像を特定して理解する:何が間違っているのか
これは、脆弱性の技術的側面と、それが物事をうまくいかないようにする方法を理解することを意味します。
通常、OWASPのトップ10 Webアプリケーションセキュリティ脆弱性(google:owasp top 10 2007)に行きます。
理解できない場合は、ガイダンスを求めてください。このようなドキュメントを理解しても、安全なコードを構築する方法を直接教えてくれるわけではありませんが、安全な開発に関する理解レベルの良い指標です。
安全な開発につながる優れた一般的なプラクティスを見つける
多くのドキュメントで問題がどのように発生するかが説明されていますが、実際に一般的な方法でそれらを回避する方法を説明しているリソースはほとんどありません。
現在、私は主にこれらのリソースをお勧めします:
- David Rookの「安全な開発の原則」 (google:安全な開発のデビッドルークの原則)
- OWASPの脆弱性保護セクショントップ10(各エントリは、トップ10のオンラインバージョンでクリック可能です)
テクノロジーに合わせたリソースを見つける
「これを行う方法」を教えてくれるリソースにアクセスするあなたが話す言語で。通常、C#。 MSDNポータルは、多くのセキュリティチェックリスト( http://msdn.microsoftを開発者に提供します。 com / en-us / library / ms998408.aspx )。
最後に、アプリケーションセキュリティの定期的な入力に接続し、ブログを見つけ、ニュースを読んで(いくつかの脆弱性の名前または「アプリケーションセキュリティ」や「安全な開発」などの単語でGoogleアラートを作成します)、何が起こるかを確認します。
お役に立てば幸いです。
sb
PS:「google」リンクは申し訳ありませんが、私は新しいユーザーです。回答には1つのURLしか投稿できません:(