Procedure consigliate per le API di sicurezza
Per sviluppare software sicuro, è consigliabile usare le procedure consigliate seguenti durante lo sviluppo di applicazioni. Per altre informazioni, vedere Centro per sviluppatori di sicurezza.
Ciclo di vita dello sviluppo della sicurezza
Il ciclo di vita dello sviluppo della sicurezza (SDL) è un processo che allinea una serie di attività incentrate sulla sicurezza e risultati finali a ogni fase di sviluppo software. Queste attività e i risultati finali includono:
- Sviluppo di modelli di minaccia
- Uso degli strumenti di analisi del codice
- Esecuzione di verifiche del codice e test di sicurezza
Per altre informazioni su SDL, vedere Ciclo di vita dello sviluppo della sicurezza Microsoft.
Modelli di minaccia
La gestione di un'analisi del modello di minaccia consente di individuare potenziali punti di attacco nel codice. Per altre informazioni sull'analisi del modello di minaccia, vedere Howard, Michael e LeBlanc, David [2003], Scrittura di codice sicuro, 2d ed., ISBN 0-7356-1722-8, Microsoft Press, Redmond, Washington. Questa risorsa potrebbe non essere disponibile in alcune lingue e paesi.
Service Pack e Aggiornamenti di sicurezza
Gli ambienti di compilazione e test devono eseguire il mirroring degli stessi livelli di Service Pack e aggiornamenti della sicurezza della base utente di destinazione. È consigliabile installare i Service Pack più recenti e gli aggiornamenti della sicurezza per qualsiasi piattaforma o applicazione Microsoft che fa parte dell'ambiente di compilazione e test e incoraggiare gli utenti a eseguire le stesse operazioni per l'ambiente dell'applicazione completato. Per altre informazioni sui Service Pack e sugli aggiornamenti della sicurezza, vedere Microsoft Windows Update e Microsoft Security.
Autorizzazione
È consigliabile creare applicazioni che richiedono il privilegio minimo possibile. L'uso del privilegio minimo possibile riduce il rischio di compromettere il codice dannoso che compromette il sistema del computer. Per altre informazioni sull'esecuzione del codice nel livello di privilegi minimo possibile, vedere Esecuzione con privilegi speciali.
Altre informazioni
Per altre informazioni sulle procedure consigliate, vedere gli argomenti seguenti.
Argomento | Descrizione |
---|---|
Esecuzione con privilegi speciali |
Vengono illustrate le implicazioni per la sicurezza dei privilegi. |
Evitare l'overrun del buffer |
Fornisce informazioni sull'evitare l'overrun del buffer. |
Control Flow Guard (CFG) |
Vengono illustrate le vulnerabilità di danneggiamento della memoria. |
Creazione di un elenco dati |
Illustra come creare un elenco di controllo di accesso discrezionale usando il linguaggio di definizione del descrittore di sicurezza (SDDL). |
Gestione delle password |
Vengono illustrate le implicazioni per la sicurezza dell'uso delle password. |
Come ottimizzare la ricerca di MSDN Library |
Vengono illustrate le opzioni per la ricerca di contenuto di Security SDK in MSDN Library. |
Estendibilità dinamica Controllo di accesso sviluppatore |
Orientamento di base a alcuni dei punti di estendibilità degli sviluppatori per le nuove soluzioni di Controllo di accesso dinamiche. |
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per