Práticas Recomendadas para as APIs de Segurança
Para ajudar a desenvolver um software seguro, recomendamos que você use as seguintes práticas recomendadas ao desenvolver aplicativos. Para obter mais informações, confira Centro de desenvolvedores de segurança.
Ciclo de vida de desenvolvimento de segurança
O SDL (Ciclo de Vida de Desenvolvimento de Segurança) é um processo que alinha uma série de atividades e entregas focadas em segurança para cada fase do desenvolvimento de software. Essas atividades e resultados incluem:
- Desenvolvimento de modelos de ameaças
- Usando ferramentas de varredura de código
- Realização de revisões de código e testes de segurança
Para obter mais informações sobre o SDL, consulte Ciclo de vida de desenvolvimento do Microsoft Security.
Modelos de ameaças
A realização de uma análise de modelo de ameaça pode ajudá-lo a descobrir possíveis pontos de ataque em seu código. Para obter mais informações sobre a análise do modelo de ameaças, consulte Howard, Michael e LeBlanc, David [2003], Writing Secure Code, 2ª ed., ISBN 0-7356-1722-8, Microsoft Press, Redmond, Washington. (Este recurso pode não estar disponível em alguns idiomas e países.)
Service packs e atualizações de segurança
Os ambientes de build e teste devem espelhar os mesmos níveis de service packs e atualizações de segurança da base de usuários de destino. Recomendamos que você instale os service packs e atualizações de segurança mais recentes para qualquer plataforma ou aplicativo da Microsoft que faça parte do seu ambiente de compilação e teste, e incentive os usuários a fazer o mesmo para o ambiente de aplicativo concluído. Para obter mais informações sobre service packs e atualizações de segurança, consulte Microsoft Windows Update e Microsoft Security.
Autorização
Você deve criar aplicativos que exijam o menor privilégio possível. Usar o menor privilégio possível reduz o risco de um código mal-intencionado comprometer o sistema do seu computador. Para obter mais informações sobre como executar um código no nível de privilégio mais baixo possível, consulte Execução com privilégios especiais.
Mais informações
Para obter mais informações sobre práticas recomendadas, consulte os tópicos a seguir.
| Tópico | Descrição |
|---|---|
| Execução com privilégios especiais |
Discute as implicações de segurança dos privilégios. |
| Evitar as saturações de buffer |
Fornece informações sobre como evitar saturações de buffer. |
| Proteção de fluxo de controle (CFG): |
Discute vulnerabilidades de corrupção de memória. |
| Criar um DACL |
Mostra como criar uma DACL (lista de controle de acesso discricionário) usando a SDDL (linguagem de definição de descritor de segurança). |
| Manipulação de senhas |
Discute as implicações de segurança do uso de senhas. |
| Extensibilidade do desenvolvedor de controle de acesso dinâmico |
Orientação básica para alguns dos pontos de extensibilidade do desenvolvedor para as novas soluções de controle de acesso dinâmico. |