Bewährte Methoden für die Sicherheits-APIs
Um die Entwicklung sicherer Software zu unterstützen, empfehlen wir, beim Entwickeln von Anwendungen die folgenden bewährten Methoden zu befolgen. Weitere Informationen finden Sie im Security Developer Center.
Security Development Life Cycle
Der Security Development Life Cycle (SDL) ist ein Prozess, der eine Reihe von sicherheitsorientierten Aktivitäten und Liefergegenständen für jede Phase der Softwareentwicklung beinhaltet. Zu diesen Aktivitäten und Liefergegenständen gehören:
- Entwickeln von Bedrohungsmodellen
- Verwenden von Tools zum Code-Scanning
- Durchführen von Codeüberprüfungen und Sicherheitstests
Weitere Informationen zu SDL finden Sie unter Microsoft Security Development Lifecycle.
Bedrohungsmodelle
Durch die Durchführung einer Bedrohungsmodellanalyse können Sie potenzielle Angriffspunkte in Ihrem Code ermitteln. Weitere Informationen zur Analyse von Bedrohungsmodellen finden Sie in: Howard, Michael und LeBlanc, David [2003], Writing Secure Code, 2d ed., ISBN 0-7356-1722-8, Microsoft Press, Redmond, Washington. (Diese Ressource ist möglicherweise nicht in allen Sprachen und Ländern verfügbar)
Service Packs und Sicherheitsupdates
Build- und Testumgebungen sollten die gleichen Service Packs und Sicherheitsupdates wie die Zielbenutzer verwenden. Wir empfehlen, die neuesten Service Packs und Sicherheitsupdates für jede Microsoft-Plattform oder -Anwendung zu installieren, die Teil Ihrer Build- und Testumgebung ist, und ihre Benutzer dazu aufzufordern, dies für die fertige Anwendungsumgebung ebenfalls zu tun. Weitere Informationen zu Service Packs und Sicherheitsupdates finden Sie unter Microsoft Windows Update und Microsoft Security.
Autorisierung
Sie sollten Anwendungen erstellen, die die geringsten Berechtigungen erfordern. Die Verwendung der geringsten möglichen Berechtigungen reduziert das Risiko, dass bösartiger Code Ihr Computersystem beeinträchtigt. Weitere Informationen zum Ausführen von Code in der geringsten Berechtigungsstufe finden Sie unter Ausführen mit speziellen Berechtigungen.
Weitere Informationen
Weitere Informationen zu bewährten Verfahren finden Sie in den folgenden Themen.
| Thema | Beschreibung |
|---|---|
| Ausführen mit speziellen Berechtigungen |
Erläutert Sicherheitsauswirkungen von Berechtigungen. |
| Vermeiden von Pufferüberläufen |
Enthält Informationen zum Vermeiden von Pufferüberläufen. |
| Control Flow Guard (CFG) |
Beschreibt Anfälligkeiten für Speicherbeschädigungen. |
| Erstellen einer DACL |
Zeigt, wie Sie eine Discretionary Access Control List (DACL) mithilfe der Security Descriptor Definition Language (SDDL) erstellen. |
| Umgang mit Kennwörtern |
Erläutert die Sicherheitsauswirkungen der Verwendung von Kennwörtern. |
| Dynamische Zugriffssteuerung: Erweiterbarkeit für Entwickler |
Grundlegende Informationen zu einigen Erweiterungspunkten für Entwickler für die neuen Lösungen für die dynamische Zugriffssteuerung. |