Рекомендации по API безопасности
Для разработки безопасного программного обеспечения рекомендуется использовать следующие рекомендации при разработке приложений. Дополнительные сведения см. в разделе Центр разработчиков безопасности.
Жизненный цикл разработки безопасности
Жизненный цикл разработки безопасности (SDL) — это процесс, который сопоставляет ряд действий, ориентированных на безопасность, и конечных результатов для каждого этапа разработки программного обеспечения. К этим действиям и конечным результатам относятся:
- Разработка моделей угроз
- Использование средств сканирования кода
- Проведение проверок кода и тестирования безопасности
Дополнительные сведения о SDL см. в статье Жизненный цикл разработки безопасности Майкрософт.
Модели угроз
Анализ модели угроз может помочь обнаружить потенциальные точки атаки в коде. Дополнительные сведения об анализе модели угроз см. в статье Howard, Michael and LeBlanc, David [2003], Writing Secure Code, 2d ed., ISBN 0-7356-1722-8, Microsoft Press, Redmond, Washington. (Этот ресурс может быть недоступен в некоторых языках и странах.)
Пакеты обновления и Обновления безопасности
Среды сборки и тестирования должны зеркало одинаковые уровни пакетов обновления и обновлений для системы безопасности целевой базы пользователей. Мы рекомендуем установить последние пакеты обновления и обновления для системы безопасности для любой платформы или приложения Майкрософт, которые являются частью вашей среды сборки и тестирования, и рекомендуем пользователям делать то же самое для готовой среды приложений. Дополнительные сведения о пакетах обновления и обновлениях для системы безопасности см. в разделах Microsoft клиентский компонент Центра обновления Windows и Microsoft Security.
Авторизация
Следует создавать приложения, которым требуются минимальные привилегии. Использование минимальных привилегий снижает риск компрометации компьютерной системы вредоносным кодом. Дополнительные сведения о выполнении кода с минимальным уровнем привилегий см. в разделе Выполнение с особыми привилегиями.
Дополнительные сведения
Дополнительные сведения о рекомендациях см. в следующих разделах.
| Раздел | Описание |
|---|---|
| Выполнение с особыми привилегиями |
Описывает влияние привилегий на безопасность. |
| Предотвращение переполнения буфера |
Предоставляет сведения о том, как избежать переполнения буфера. |
| Control Flow Guard (CFG) |
Рассматриваются уязвимости, связанные с повреждением памяти. |
| Создание dacl |
Показано, как создать список управления доступом на уровне пользователей (DACL) с помощью языка определения дескрипторов безопасности (SDDL). |
| Обработка паролей |
Описывает последствия использования паролей для безопасности. |
| Оптимизация поиска библиотека MSDN |
Обсуждаются варианты поиска содержимого пакета SDK для системы безопасности на библиотека MSDN. |
| Расширяемость для разработчиков динамических контроль доступа |
Базовая ориентация на некоторые точки расширяемости разработчика для новых решений dynamic контроль доступа. |
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по