Sdílet prostřednictvím

Doporučené postupy pro zabezpečení v automatizaci

  • Článek

Visual Studiovývojáře pomocí automatizace musí porozumět a přijmout zodpovědnost za vytváření zabezpečených aplikací pomocí Principy chyb zabezpečení.Zabezpečené aplikace chrání důvěrnost, integritu a dostupnost informací zákazníků.Navíc chrání integritu a dostupnost zdroje zpracování, které řídí vlastník nebo správce systému.

Pro účely této diskuse je chyba zabezpečení chyba v produktu, který umožňuje útočníkovi – i když se produkt používá správně – do:

  • příslušná oprávnění v systému uživatele

  • regulaci, změnit nebo přesměrovat své operace

  • ohrozit jeho data

    -nebo-

  • předpokládá ungranted vztahu důvěryhodnosti.

Důležitá poznámkaDůležité

Nikdy předpokládat, že vaše aplikace bude spuštěna pouze několik dané prostředí, zejména v případě, že aplikace bude velmi populární.Je pravděpodobné, že bude použit v jiné, nepředvídané, nastavení.Místo toho se předpokládá, že kód bude spuštěna v nejvíce nepřátelských prostředích.Návrh zápisu a odpovídajícím způsobem testování kódu.

Existují výhody věnujte zabezpečených aplikací.Kód, který je původně navržena a vytvořena s ohledem na zabezpečení je výkonnější než kód napsaný s zabezpečení, která je přidána jako afterthought.Bezpečně navržených aplikací jsou také odolnější vůči kritika media přitažlivější uživatelům a levnější fix a podporu.

Riziková rozhraní API

Některé funkce rozhraní API lze považovat za nebezpečné více než ostatní z hlediska zabezpečení.Některé mohou být ze své podstaty rizikové způsobem jejich funkce.Jiné mohou být nebezpečné, pokud nejsou volána nebo správně zpracovat.Je, že byste se měli seznámit s pitfalls a quirks různých funkcí rozhraní API volat a pokud nepředstavují žádné řazení riziko zabezpečení, zajistit jejich správné použití.

Také není předpokládá, že kód používá pouze funkcí rozhraní API, které jsou považovány za "bezpečné" které aplikace je automaticky bezpečný a zabezpečený stejně.Nedbalostním programovací postupy lze vystavit aplikace jako riziko mnohem nebo více než pomocí funkce údajně "nebezpečný".Takové postupy mohou zahrnovat:

  • není správně, zpracování výjimek

  • použití pevně cest

  • použití připojení pevně řetězců

    -nebo-

  • není kontrola oprávnění nebo pověření uživatele správné.

Chcete-li chránit vaše aplikace, je třeba důkladně porozumět problémy se zabezpečením kódu podle zkoumá předmět.Kniha Microsoft Press, psaní kódu zabezpečení a kódování pokyny pro zabezpečení serveru na https://msdn2.microsoft.com/en-us/library/d55zzx87.aspx jsou vhodné prostředky.

Jiné důležité porozumět je mnoho problémů se zabezpečením výsledkem aplikace, které slepě důvěřovat vstupní data.Je nezbytné, aby aplikace pečlivě přezkoumá a posoudí data přijetí ověřte, zda data ve správném a důvěryhodného před jeho použitím.

Funkce automatizace zabezpečení

Vedle následujících pokynů, Visual Studio automation nabízí jednoduché, zvláštní způsoby pomáhá zabezpečit systém před automatizace zabezpečení hospodářství.Nezapomeňte však, že nejsou všelék všech problémů se zabezpečením.Jsou to spíše dobrý start.Informace naleznete v části Zabezpečení.

Výzkum a postupujte.Pokyny pro zabezpečení NET pečlivě před sestavením automatizace aplikace.

Viz také

Další zdroje

Prostředky pro vytváření zabezpečených aplikací

Klíčové koncepty zabezpečení