软件设计方案编写目的_设计和编写安全软件的十大清单

软件设计方案编写目的

如果您关心编写安全代码，则应该了解以下十大列表：

OWASP前十名

OWASP Top 10是社区构建的列表，列出了在线（尤其是Web）应用程序中的10个最常见和最危险的安全问题。 注入漏洞，破坏的身份验证和会话管理，XSS和其他讨厌的安全漏洞。

这些是您需要意识到和寻找的问题，并且需要在设计和编码中避免。 前十名介绍了如何测试每种类型的问题，以查看您的应用是否容易受到攻击（包括常见的攻击情形），以及可以采取的基本步骤来预防每种问题。

如果您使用的是移动应用程序，请花一些时间来了解OWASP十大移动设备列表。

IEEE顶级设计缺陷

OWASP Top 10是为安全测试人员和审计员编写的，而不是为开发人员编写的。 它通常用于对在安全测试和审计中发现的漏洞进行分类，并在诸如PCI-DSS的法规中引用。

来自行业和大学研究人员的一组应用程序安全专家IEEE安全设计中心采用了不同的方法。 他们提出了前十名的清单，重点关注识别和防止体系结构和设计中的常见安全性错误 。

此列表包括良好的设计规范，例如：赢得或给予，但从不信任他人； 识别敏感数据以及如何处理它们； 了解集成外部组件如何改变您的攻击面。 IEEE的清单应纳入设计模式，并在设计审查中使用，以尽早处理安全问题。

OWASP主动控件

IEEE的方法是基于原理的–设计中需要考虑的事情列表，就像您考虑简单性，封装性和模块化性一样。

OWASP主动控件最初由安全专家Jim Manico创建，是在开发人员级别编写的。 它是您作为开发人员可以执行的一些实际的，具体的事情的清单，可以防止编码和设计中的安全问题。 如何参数化查询以及安全正确地编码或验证数据。 如何正确存储密码并实现忘记密码功能。 如何实施访问控制–以及如何不执行访问控制。

它为您提供了备忘单和其他资源，以获取更多信息，并说明了如何利用常见语言和框架的安全性功能，以及如何以及何时使用流行的，经过验证的安全性库，例如Apache Shiro和OWASP Java Encoder 。

凯蒂·安东（Katy Anton）和杰森·科尔曼（Jason Coleman）将所有这些控件 （OWASP Top 10，OWASP主动控件和IEEE安全缺陷）放在一起，展示了OWASP主动控件如何从IEEE列表中实施安全设计实践，以及它们如何预防或缓解OWASP页首10大风险。

您可以使用这些映射来查找应用程序安全性实践，测试和编码以及知识方面的空白，从而确定可以学习和改进的领域。

翻译自: https://www.javacodegeeks.com/2015/06/top-10-lists-for-designing-and-writing-secure-and-safe-software.html

软件设计方案编写目的