软件设计方案编写目的_设计和编写安全软件的十大清单

软件设计方案编写目的

如果您关心编写安全代码,则应该了解以下十大列表:

OWASP前十名

OWASP Top 10是社区构建的列表,列出了在线(尤其是Web)应用程序中的10个最常见和最危险的安全问题。 注入漏洞,破坏的身份验证和会话管理,XSS和其他讨厌的安全漏洞。

这些是您需要意识到和寻找的问题,并且需要在设计和编码中避免。 前十名介绍了如何测试每种类型的问题,以查看您的应用是否容易受到攻击(包括常见的攻击情形),以及可以采取的基本步骤来预防每种问题。

如果您使用的是移动应用程序,请花一些时间来了解OWASP十大移动设备列表。

IEEE顶级设计缺陷

OWASP Top 10是为安全测试人员和审计员编写的,而不是为开发人员编写的。 它通常用于对在安全测试和审计中发现的漏洞进行分类,并在诸如PCI-DSS的法规中引用。

来自行业和大学研究人员的一组应用程序安全专家IEEE安全设计中心采用了不同的方法。 他们提出了前十名的清单,重点关注识别和防止体系结构和设计中的常见安全性错误

此列表包括良好的设计规范,例如:赢得或给予,但从不信任他人; 识别敏感数据以及如何处理它们; 了解集成外部组件如何改变您的攻击面。 IEEE的清单应纳入设计模式,并在设计审查中使用,以尽早处理安全问题。

OWASP主动控件

IEEE的方法是基于原理的–设计中需要考虑的事情列表,就像您考虑简单性,封装性和模块化性一样。

OWASP主动控件最初由安全专家Jim Manico创建,是在开发人员级别编写的。 它是您作为开发人员可以执行的一些实际的,具体的事情的清单,可以防止编码和设计中的安全问题。 如何参数化查询以及安全正确地编码或验证数据。 如何正确存储密码并实现忘记密码功能。 如何实施访问控制–以及如何不执行访问控制。

它为您提供了备忘单和其他资源,以获取更多信息,并说明了如何利用常见语言和框架的安全性功能,以及如何以及何时使用流行的,经过验证的安全性库,例如Apache ShiroOWASP Java Encoder

凯蒂·安东(Katy Anton)和杰森·科尔曼(Jason Coleman)将所有这些控件 (OWASP Top 10,OWASP主动控件和IEEE安全缺陷)放在一起,展示了OWASP主动控件如何从IEEE列表中实施安全设计实践,以及它们如何预防或缓解OWASP页首10大风险。

您可以使用这些映射来查找应用程序安全性实践,测试和编码以及知识方面的空白,从而确定可以学习和改进的领域。

翻译自: https://www.javacodegeeks.com/2015/06/top-10-lists-for-designing-and-writing-secure-and-safe-software.html

软件设计方案编写目的

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值