Práticas recomendadas de segurança em automação
Os suplementos do Visual Studio foram substituídos no Visual Studio 2013. Você deve atualizar seus suplementos para as extensões VSPackage. Para obter mais informações sobre atualização, consulte Perguntas frequentes: convertendo suplementos em extensões VSPackage.
Os desenvolvedores de automação deVisual Studio devem compreender e aceitar a responsabilidade de criar aplicativos seguros entendendo as vulnerabilidades de segurança. Um aplicativo seguro protege confidencialidade, a integridade e a disponibilidade das informações de clientes. Além disso, protege a integridade e a disponibilidade dos recursos de processamento, que o proprietário ou administrador do sistema controla.
Para fins desta discussão, uma vulnerabilidade de segurança é uma falha em um produto que permite a um invasor, mesmo quando o produto é usado corretamente, o seguinte:
privilégios apropriados no sistema do usuário,
regule, modifique ou redirecione a sua operação,
confirme seus dados,
- ou -
suponha confiança não concedida.
Importante
Nunca suponha que seu aplicativo será executado somente em alguns determinados ambientes, especialmente se o aplicativo se tornar muito popular.As alterações boas que serão usadas em outra configuração imprevista.Suponha vez que seu código será executado em ambientes mais hostis.Crie, grave, e teste o seu código corretamente.
Existem benefícios na criação de aplicativos seguros. O código que criado e compilado inicialmente pensando na segurança é mais robusto que o código gravado com segurança, que é adicionado como anexo. Aplicativos criados com segurança também são mais resistentes à crítica da mídia, mais atrativos os usuários e oferecem menor custo de manutenção e suporte.
APIs arriscadas
Algumas funções da API podem ser consideradas mais arriscadas do que outras de um ponto de vista de segurança. Algumas podem ser inerentemente arriscadas na maneira como funcionam. Outras podem ser arriscadas se não forem chamadas ou manipuladas apropriadamente. O importante é que você deve estar familiarizado com as armadilhas e as peculiaridades das várias funções de API que chama. E se elas apresentarem qualquer tipo de risco à segurança, verifique se elas estão sendo usadas corretamente.
Além disso, não pense que porque seu código usa somente funções da API consideradas "seguras", seu aplicativo está automaticamente seguro e protegido também. As práticas negligentes de programação podem expor seu aplicativo a riscos maiores ou iguais ao risco de usar as supostas funções “perigosas”. Essas práticas podem incluir:
não manipulando exceções corretamente,
usando caminhos codificados,
usando cadeias de conexão colocadas direto no código
- ou -
não verificar quanto a credenciais ou permissões apropriadas de usuário.
Para proteger seus aplicativos, você deve compreender totalmente os problemas de segurança de código pesquisando o assunto. O livro da Microsoft Press, Escrevendo código seguro, e Diretrizes de codificação de segurança em https://msdn2.microsoft.com/library/d55zzx87.aspx são excelentes recursos.
Outro aspecto importante, é compreender que muitos problemas de segurança resultam de aplicativos que dependem da entrada cega de dados. É essencial que seus aplicativos examinem e avaliem cuidadosamente os dados à medida que são recebidos para verificar se os mesmos estão bem formados e são confiável antes de usá-los.
Recursos de segurança de automação
Além dessas diretrizes, a automação do Visual Studio oferece algumas maneiras simples e específicas de ajudar você a proteger seu sistema contra explorações da segurança de automação. Lembre-se, entretanto, que elas não são uma solução para todos os problemas de segurança. Elas são um bom início. Para obter informações, consulte Segurança de Suplemento.
Pesquise e siga as diretrizes de segurança do .NET cuidadosamente antes de compilar seus aplicativos de automação.