Praktik Terbaik untuk API Keamanan
Untuk membantu mengembangkan perangkat lunak yang aman, kami sarankan Anda menggunakan praktik terbaik berikut saat mengembangkan aplikasi. Untuk informasi selengkapnya, lihat Pusat Pengembang Keamanan.
Siklus Hidup Pengembangan Keamanan
Siklus Hidup Pengembangan Keamanan (SDL) adalah proses yang menyelaraskan serangkaian aktivitas dan hasil yang berfokus pada keamanan ke setiap fase pengembangan perangkat lunak. Kegiatan dan hasil ini meliputi:
- Mengembangkan model ancaman
- Menggunakan alat pemindaian kode
- Melakukan tinjauan kode dan pengujian keamanan
Untuk informasi selengkapnya tentang SDL, lihat Siklus Hidup Pengembangan Keamanan Microsoft.
Model Ancaman
Melakukan analisis model ancaman dapat membantu Anda menemukan titik serangan potensial dalam kode Anda. Untuk informasi selengkapnya tentang analisis model ancaman, lihat Howard, Michael dan LeBlanc, David [2003], Menulis Kode Aman, 2d ed., ISBN 0-7356-1722-8, Microsoft Press, Redmond, Washington. (Sumber daya ini mungkin tidak tersedia di beberapa bahasa dan negara.)
Paket Layanan dan Pembaruan Keamanan
Lingkungan build dan pengujian harus mencerminkan tingkat paket layanan dan pembaruan keamanan yang sama dari basis pengguna yang ditargetkan. Kami menyarankan agar Anda menginstal paket layanan terbaru dan pembaruan keamanan untuk platform atau aplikasi Microsoft apa pun yang merupakan bagian dari lingkungan build dan pengujian Anda dan mendorong pengguna Anda untuk melakukan hal yang sama untuk lingkungan aplikasi yang sudah selesai. Untuk informasi selengkapnya tentang paket layanan dan pembaruan keamanan, lihat Microsoft Windows Update dan Microsoft Security.
Authorization
Anda harus membuat aplikasi yang memerlukan hak istimewa sekecil mungkin. Menggunakan hak istimewa yang paling tidak mungkin mengurangi risiko kode berbahaya yang mengorbankan sistem komputer Anda. Untuk informasi selengkapnya tentang menjalankan kode dalam tingkat hak istimewa yang paling tidak mungkin, lihat Menjalankan dengan Hak Istimewa.
Informasi Selengkapnya
Untuk informasi selengkapnya tentang praktik terbaik, lihat topik berikut ini.
| Topik | Deskripsi |
|---|---|
| Berjalan dengan Hak Istimewa |
Membahas implikasi keamanan hak istimewa. |
| Menghindari Buffer Overruns |
Menyediakan informasi tentang menghindari overruns buffer. |
| Control Flow Guard (CFG) |
Membahas kerentanan kerusakan memori. |
| Membuat DACL |
Memperlihatkan cara membuat daftar kontrol akses diskresi (DACL) dengan menggunakan Security Descriptor Definition Language (SDDL). |
| Menangani Kata Sandi |
Membahas implikasi keamanan menggunakan kata sandi. |
| Ekstensibilitas pengembang Dynamic Access Control |
Orientasi dasar ke beberapa titik ekstensibilitas pengembang untuk solusi Kontrol Akses Dinamis baru. |