Поделиться через


Рекомендации по API безопасности

Для разработки безопасного программного обеспечения рекомендуется использовать следующие рекомендации при разработке приложений. Дополнительные сведения см. в центре разработчиков безопасности.

Жизненный цикл разработки безопасности

Жизненный цикл разработки безопасности (SDL) — это процесс, который выравнивает ряд действий, ориентированных на безопасность, и доставить их на каждый этап разработки программного обеспечения. К этим действиям и конечным предложениям относятся:

  • Разработка моделей угроз
  • Использование средств сканирования кода
  • Проведение проверок кода и тестирования безопасности

Дополнительные сведения о SDL см. в жизненном цикле разработки безопасности Майкрософт.

Модели угроз

Анализ модели угроз поможет вам обнаружить потенциальные точки атаки в коде. Дополнительные сведения об анализе модели угроз см. в статье Говард, Майкл и LeBlanc, Дэвид [2003], написание защищенного кода, 2d ed., ISBN 0-7356-1722-8, Microsoft Press, Redmond, Вашингтон. (Этот ресурс может быть недоступен на некоторых языках и странах.)

Пакеты обновления и обновления системы безопасности

Среды сборки и тестирования должны зеркально отображать те же уровни пакетов обновления и обновлений безопасности целевой пользовательской базы. Мы рекомендуем установить последние пакеты обновления и обновления системы безопасности для любой платформы Майкрософт или приложения, который входит в среду сборки и тестирования, и поощрять пользователей выполнять то же самое для готовой среды приложения. Дополнительные сведения о пакетах обновления и обновлениях системы безопасности см. в статье Microsoft Обновл. Windows и Microsoft Security.

Авторизация

Необходимо создать приложения, требующие наименьших возможных привилегий. Использование наименьших возможных привилегий снижает риск ущерба операционной системе вредоносного кода. Дополнительные сведения о выполнении кода в минимально возможном уровне привилегий см. в разделе "Выполнение с специальными привилегиями".

Дополнительные сведения

Дополнительные сведения о рекомендациях см. в следующих разделах.

Раздел Описание
Выполнение с особыми привилегиями
Описывает последствия для безопасности привилегий.
Предотвращение переполнения буфера
Предоставляет сведения о предотвращении переполнения буфера.
Control Flow Guard (CFG)
Описывает уязвимости повреждения памяти.
Создание DACL
В этой статье показано, как создать список управления доступом (DACL) с помощью языка определения дескриптора безопасности (SDDL).
Обработка паролей
Обсуждается последствия использования паролей.
Расширяемость динамических контроль доступа разработчиков
Базовая ориентация на некоторые точки расширяемости разработчика для новых решений Динамической контроль доступа.