Práticas recomendadas para as APIs de segurança
Para ajudar a desenvolver software seguro, recomendamos que você use as práticas recomendadas a seguir ao desenvolver aplicativos. Para obter mais informações, consulte Central de Desenvolvedores de Segurança.
Ciclo de Vida do Desenvolvimento de Segurança
O SDL ( Ciclo de Vida de Desenvolvimento de Segurança ) é um processo que alinha uma série de atividades focadas em segurança e entregas a cada fase de desenvolvimento de software. Essas atividades e entregas incluem:
- Desenvolvendo modelos de ameaças
- Usando ferramentas de verificação de código
- Realizando revisões de código e testes de segurança
Para obter mais informações sobre o SDL, consulte o Ciclo de Vida de Desenvolvimento de Segurança da Microsoft.
Modelos de ameaças
A realização de uma análise de modelo de ameaça pode ajudá-lo a descobrir possíveis pontos de ataque em seu código. Para obter mais informações sobre a análise do modelo de ameaças, consulte Howard, Michael e LeBlanc, David [2003], Escrevendo Código Seguro, 2d ed., ISBN 0-7356-1722-8, Microsoft Press, Redmond, Washington. (Esse recurso pode não estar disponível em alguns idiomas e países.)
Service Packs e Atualizações de segurança
Ambientes de compilação e teste devem espelho os mesmos níveis de service packs e atualizações de segurança da base de usuários de destino. Recomendamos que você instale os service packs e atualizações de segurança mais recentes para qualquer plataforma ou aplicativo da Microsoft que faça parte do ambiente de build e teste e incentive os usuários a fazer o mesmo para o ambiente de aplicativo concluído. Para obter mais informações sobre service packs e atualizações de segurança, consulte Microsoft Windows Update e Microsoft Security.
Autorização
Você deve criar aplicativos que exijam o privilégio menos possível. O uso do privilégio menos possível reduz o risco de código mal-intencionado comprometer o sistema do computador. Para obter mais informações sobre como executar código no nível de privilégio menos possível, consulte Executando com privilégios especiais.
Mais informações
Para obter mais informações sobre as práticas recomendadas, consulte os tópicos a seguir.
| Tópico | Descrição |
|---|---|
| Executando com privilégios especiais |
Discute as implicações de segurança dos privilégios. |
| Evitando estouros de buffer |
Fornece informações sobre como evitar estouros de buffer. |
| CFG (Proteção de Fluxo de Controle) |
Discute vulnerabilidades de corrupção de memória. |
| Criando uma DACL |
Mostra como criar uma DACL (lista de controle de acesso discricionário) usando o SDDL ( Security Descriptor Definition Language ). |
| Manipulando senhas |
Discute as implicações de segurança do uso de senhas. |
| Como otimizar sua pesquisa de Biblioteca MSDN |
Discute as opções de pesquisa de conteúdo do SDK de Segurança no Biblioteca MSDN. |
| Extensibilidade dinâmica do desenvolvedor de Controle de Acesso |
Orientação básica para alguns dos pontos de extensibilidade do desenvolvedor para as novas soluções de Controle de Acesso dinâmicas. |
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de