Bewährte Methoden für die Sicherheits-APIs
Um die Entwicklung sicherer Software zu unterstützen, wird empfohlen, beim Entwickeln von Anwendungen die folgenden bewährten Methoden zu verwenden. Weitere Informationen finden Sie unter Security Developer Center.
Lebenszyklus der Sicherheitsentwicklung
Der Lebenszyklus der Sicherheitsentwicklung (Security Development Life Cycle , SDL) ist ein Prozess, der eine Reihe sicherheitsorientierter Aktivitäten und Ergebnisse an jede Phase der Softwareentwicklung anrichtet. Zu diesen Aktivitäten und Lieferumfangen gehören:
- Entwickeln von Bedrohungsmodellen
- Verwenden von Codescantools
- Durchführen von Codeüberprüfungen und Sicherheitstests
Weitere Informationen zum SDL finden Sie unter Microsoft Security Development Lifecycle.
Bedrohungsmodelle
Die Durchführung einer Bedrohungsmodellanalyse kann Ihnen helfen, potenzielle Angriffspunkte in Ihrem Code zu ermitteln. Weitere Informationen zur Bedrohungsmodellanalyse finden Sie unter Howard, Michael und LeBlanc, David [2003], Writing Secure Code, 2d ed., ISBN 0-7356-1722-8, Microsoft Press, Redmond, Washington. (Diese Ressource ist in einigen Sprachen und Ländern möglicherweise nicht verfügbar.)
Service Packs und Sicherheits-Updates
Build- und Testumgebungen sollten die gleichen Service Packs und Sicherheitsupdates der Zielbenutzerbasis Spiegel. Es wird empfohlen, die neuesten Service Packs und Sicherheitsupdates für jede Microsoft-Plattform oder -Anwendung zu installieren, die Teil Ihrer Build- und Testumgebung ist, und ihre Benutzer dazu auffordern, dies auch für die fertige Anwendungsumgebung zu tun. Weitere Informationen zu Service Packs und Sicherheitsupdates finden Sie unter Microsoft Windows Update und Microsoft Security.
Autorisierung
Sie sollten Anwendungen erstellen, die die geringstmöglichen Berechtigungen erfordern. Die Verwendung der geringstmöglichen Berechtigungen verringert das Risiko, dass bösartiger Code Ihr Computersystem kompromittiert. Weitere Informationen zum Ausführen von Code in der geringstmöglichen Berechtigungsstufe finden Sie unter Ausführen mit speziellen Berechtigungen.
Weitere Informationen
Weitere Informationen zu bewährten Methoden finden Sie in den folgenden Themen.
Thema | BESCHREIBUNG |
---|---|
Ausführen mit speziellen Berechtigungen |
Erläutert die Sicherheitsauswirkungen von Berechtigungen. |
Vermeiden von Pufferüberläufen |
Enthält Informationen zum Vermeiden von Pufferüberläufen. |
Ablaufsteuerungsschutz (CFG, Control Flow Guard) |
Erläutert Sicherheitsrisiken bei Speicherbeschädigungen. |
Erstellen einer DACL |
Zeigt, wie Sie eine daCL (Discretionary Access Control List) mit der Security Descriptor Definition Language (SDDL) erstellen. |
Behandeln von Kennwörtern |
Erläutert die Sicherheitsauswirkungen der Verwendung von Kennwörtern. |
Optimieren der MSDN Library-Suche |
Erläutert Optionen zum Durchsuchen von Security SDK-Inhalten in der MSDN Library. |
Erweiterbarkeit dynamischer Access Control Entwickler |
Grundlegende Ausrichtung auf einige der Entwicklererweiterungspunkte für die neuen Dynamic Access Control-Lösungen. |
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für