Рекомендации по API безопасности
Для разработки безопасного программного обеспечения рекомендуется использовать следующие рекомендации при разработке приложений. Дополнительные сведения см. в центре разработчиков безопасности.
Жизненный цикл разработки безопасности
Жизненный цикл разработки безопасности (SDL) — это процесс, который выравнивает ряд действий, ориентированных на безопасность, и доставить их на каждый этап разработки программного обеспечения. К этим действиям и конечным предложениям относятся:
- Разработка моделей угроз
- Использование средств сканирования кода
- Проведение проверок кода и тестирования безопасности
Дополнительные сведения о SDL см. в жизненном цикле разработки безопасности Майкрософт.
Модели угроз
Анализ модели угроз поможет вам обнаружить потенциальные точки атаки в коде. Дополнительные сведения об анализе модели угроз см. в статье Говард, Майкл и LeBlanc, Дэвид [2003], написание защищенного кода, 2d ed., ISBN 0-7356-1722-8, Microsoft Press, Redmond, Вашингтон. (Этот ресурс может быть недоступен на некоторых языках и странах.)
Пакеты обновления и обновления системы безопасности
Среды сборки и тестирования должны зеркально отображать те же уровни пакетов обновления и обновлений безопасности целевой пользовательской базы. Мы рекомендуем установить последние пакеты обновления и обновления системы безопасности для любой платформы Майкрософт или приложения, который входит в среду сборки и тестирования, и поощрять пользователей выполнять то же самое для готовой среды приложения. Дополнительные сведения о пакетах обновления и обновлениях системы безопасности см. в статье Microsoft Обновл. Windows и Microsoft Security.
Авторизация
Необходимо создать приложения, требующие наименьших возможных привилегий. Использование наименьших возможных привилегий снижает риск ущерба операционной системе вредоносного кода. Дополнительные сведения о выполнении кода в минимально возможном уровне привилегий см. в разделе "Выполнение с специальными привилегиями".
Дополнительные сведения
Дополнительные сведения о рекомендациях см. в следующих разделах.
| Раздел | Описание |
|---|---|
| Выполнение с особыми привилегиями |
Описывает последствия для безопасности привилегий. |
| Предотвращение переполнения буфера |
Предоставляет сведения о предотвращении переполнения буфера. |
| Control Flow Guard (CFG) |
Описывает уязвимости повреждения памяти. |
| Создание DACL |
В этой статье показано, как создать список управления доступом (DACL) с помощью языка определения дескриптора безопасности (SDDL). |
| Обработка паролей |
Обсуждается последствия использования паролей. |
| Расширяемость динамических контроль доступа разработчиков |
Базовая ориентация на некоторые точки расширяемости разработчика для новых решений Динамической контроль доступа. |