規劃實作 OWASP 安全編碼實務
若要安全開發,首先必須採取安全編碼的做法。
Open Web Application Security Project (OWASP) 是全球非營利組織,致力於提升軟體安全性。
OWASP 的任務宗旨,在於彰顯軟體安全性,讓個人和組織可以制定明智的決策。
組織提供嚴謹且實用的建議。
OWASP 會定期發佈一組「安全編碼做法」。 其指導方針目前涵蓋下列領域的建議:
- 輸入驗證
- 輸出編碼
- 驗證和密碼管理
- 工作階段管理
- 存取控制
- 密碼編譯做法
- 錯誤處理和記錄
- 資料保護
- 通訊安全性
- 系統設定
- 資料庫安全性
- 檔案管理
- 記憶體管理
- 一般編碼做法
OWASP 也會發佈一項名為 The Juice Shop Tool Project 的易受攻擊 Web 應用程式,用於了解常見弱並查看攻擊在應用程式中出現的方式。
其中包括來自所有 OWASP 的 10 大弱點。
2002 年,Microsoft 經歷了遍及全公司的重新教育及檢討階段,以產生安全的應用程式程式碼。
作者為 David LeBlanc、Michael Howard 的《編寫安全程式碼》(Writing Secure Code) 一書是由參與這段過程的兩人所撰寫,並提供撰寫安全程式碼的詳細建議。
如需詳細資訊,您可以參閱下列主題: