我工作的公司正在重新开发一种供外部使用的内部产品。
该产品最初将使用 WPF 在 C# 中开发,然后移植到 Silverlight。
重点之一是针对恶意攻击进行编码,例如 SQL 注入等。
问题:
- 任何人都可以推荐指向有关安全“最佳实践”的文章的 URL。
- 任何人都可以推荐一种分析工具来分析代码以识别弱点。如果可能,我们希望将该工具包含在我们的持续集成脚本中。
问问题
554 次
3 回答
3
我找到的最好的资源在这里:
http://www.owasp.org/index.php/Main_Page
在该站点中,我将从这里开始:
http://www.owasp.org/index.php/Top_10_2007
前 10 名是针对网站漏洞的,但这些概念适用于所有类型的应用程序。在我个人看来,在学习安全编码方面,你真的不能做得更好。
该站点提供了最佳实践、工具,并且无论您的技能水平如何,都可以真正使一切变得易于理解。
*添加 *
另一个很好的资源是 MSDN 文档,因为您的问题被标记为 C#。
于 2009-09-15T17:46:46.543 回答
1
试试 MSDN 上的以下文章:Security (How Do I in C#)。
于 2009-09-15T17:51:32.057 回答
1
我想从安全开发开始意味着三个步骤:
识别和理解大局:可能出现的问题
这意味着了解漏洞的技术方面以及它如何帮助使事情出错。
通常,我会选择 OWASP 的 10 大 Web 应用程序安全漏洞(谷歌:owasp top 10 2007)。
如果你不明白,那么,请寻求指导。了解此类文档并不能直接告诉您如何构建安全代码,但它可以很好地表明您对安全开发的理解程度。
找到导致安全开发的良好一般实践
虽然许多文档告诉您事情可能如何出错,但实际上很少有资源告诉您如何以一般方式避免它们。
目前,我主要推荐这些资源:
- David Rook 的“安全开发原则”(google:david rook 安全开发原则)
- OWASP 的 Top 10 漏洞保护版块页面(每个条目都可以在 Top 10 的在线版本中点击)
查找为您的技术量身定制的资源
访问以您所讲的语言告诉您“如何做到这一点”的资源。通常,C#。MSDN 门户为开发人员提供了许多安全检查表 ( http://msdn.microsoft.com/en-us/library/ms998408.aspx )。
最后,进入它:连接到有关应用程序安全的常规输入、查找博客、阅读新闻(使用一些漏洞名称或诸如“应用程序安全”或“安全开发”之类的词构建 Google 警报)并看看会发生什么。
希望能帮助到你。
某人
PS:对不起“谷歌”链接,我是新用户,只能在我的答案中发布 1 个网址 :(
于 2009-09-17T14:03:35.587 回答