我们目前正在为 OWASP 开发一个开源项目,创建企业安全控制的 C++ API。
已经为 Java EE 定义了企业安全 API (ESAPI)。我们很清楚 C++ 语言对安全控制的要求可能会有所不同。毫无疑问,一些最大的安全问题源于内存管理,我们目前没有提供解决方案。到目前为止,我们专注于从 ESAPI 2.0 for Java 规范中提取的几个项目。但是,我们对其中一些安全部分有一些特定的问题。主要是,Java ESAPI 对 Web 应用程序有很大的倾斜,我们知道这不是 C++ 的规范。因此,我们正在寻找通用安全控制可能对 C++ 社区有所帮助的其他领域。了解 C++ 开发人员通常面临哪些类型的安全问题会很有用。
我们正在尝试确定黑客如何攻击和破坏您的代码,以便我们可以帮助提供适当的安全控制来防止它。
为了汇总对这个项目的反馈,我们创建了一个谷歌调查;但是,请随时在此处留下您的反馈。 https://docs.google.com/spreadsheet/viewform?formkey=dE5feWtjYlBNU05lV1FxTGNLVExIMVE6MQ
提议的安全控制(取自 ESAPI 2.0 for Java):
- 身份验证 - 生成和处理确凿的帐户凭据和会话标识符的方法。
- 用户 - 表示应用程序用户或用户帐户。
- 访问控制 - 可以在各种应用程序中用于强制访问控制的方法。
- 验证 - 规范化和验证不受信任的输入的方法。
- 编码 - 解码输入和编码输出,以便对各种解释器都是安全的。
- 执行 - 用于运行具有降低安全风险的操作系统命令。
- 加密 - 通用加密、加密随机数和字符串、散列操作和签名。加密功能将建立在 Wei Dai 的 C++ Crypto++ 库之上。但是,我们的目的是提供足够简单的加密功能,以供普通开发人员使用,除了一些基本术语外,无需任何特定的密码学知识。
- 记录 - 设计用于记录安全事件的方法。
你会考虑使用这个 API 吗?
这会给您的发展/业务带来好处吗?
有什么建议吗?
您可以提供的有关此项目的任何其他信息对我们很有用。如果上面列表中缺少某些有用的特定内容,或者您可能有一般性建议,那就太好了。上面列表中是否有您建议我们忽略的东西,因为您绝对不会使用它?如果是这样,那么也告诉我们这些事情。
感谢您对此给予关注。我们希望为 C++ 创建一个 ESAPI 将使开发人员更容易编写更安全的应用程序。
https://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API http://code.google.com/p/owasp-esapi-cplusplus/