Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Для разработки безопасного программного обеспечения рекомендуется использовать следующие рекомендации при разработке приложений. Дополнительные сведения см. в центре разработчиков безопасности.
Жизненный цикл разработки безопасности
Жизненный цикл разработки безопасности (SDL) — это процесс, который предусматривает выполнение ряда действий, направленных на безопасность, на каждом этапе разработки программного обеспечения. К этим действиям и конечным предложениям относятся:
- Разработка моделей угроз
- Использование средств сканирования кода
- Проведение проверок кода и тестирования безопасности
Дополнительные сведения о SDL см. в жизненном цикле разработки безопасности Майкрософт.
Модели угроз
Анализ модели угроз поможет вам обнаружить потенциальные точки атаки в коде. Дополнительные сведения об анализе модели угроз см. в статье Говард, Майкл и LeBlanc, Дэвид [2003], написание защищенного кода, 2d ed., ISBN 0-7356-1722-8, Microsoft Press, Redmond, Вашингтон. (Этот ресурс может быть недоступен на некоторых языках и странах.)
Пакеты обновления и обновления безопасности
Среды сборки и тестирования должны зеркально отображать те же уровни пакетов обновления и обновлений безопасности целевой пользовательской базы. Мы рекомендуем установить последние пакеты обновления и обновления системы безопасности для любой платформы Майкрософт или приложения, который входит в среду сборки и тестирования, и поощрять пользователей выполнять то же самое для готовой среды приложения. Дополнительные сведения о пакетах обновления и обновлениях системы безопасности см. в Центр обновления Windows и служба безопасности Microsoft.
Авторизация
Необходимо создать приложения, требующие наименьших возможных привилегий. Использование наименьших возможных привилегий снижает риск компрометации вашей компьютерной системы вредоносным кодом. Дополнительные сведения о выполнении кода в минимально возможном уровне привилегий см. в разделе "Выполнение с специальными привилегиями".
Дополнительные сведения
Дополнительные сведения о лучших практиках см. в следующих разделах.
| Тема | Описание |
|---|---|
|
Запуск с особыми привилегиями |
Описывает последствия для безопасности привилегий. |
|
Предотвращение переполнения буфера |
Предоставляет сведения о предотвращении переполнения буфера. |
|
Control Flow Guard (CFG) |
Описывает уязвимости повреждения памяти. |
|
Создание DACL |
В этой статье показано, как создать список управления доступом (DACL) с помощью языка определения дескриптора безопасности (SDDL). |
|
Обработка паролей |
Обсуждается последствия использования паролей. |
|
Расширяемость системы динамического контроля доступа для разработчиков |
Базовый обзор некоторых точек расширения для разработчиков для новых решений по динамическому управлению доступом. |