-
作者OWASP
-
简介
本项与技术无关的文档以清单列表的形式,定义了一套可以集成到软件开发生命周期中的通用软件安全编码规范。采用这些规范将减少最为常见的软件漏洞。
一般来说,开发安全的软件要比在软件包完成以后再纠正安全问题的成本低很多,且还没涉及到因为安全问题而造成的损失。 保护关键软件资源的安全性,比以往任何时候都更为重要,因为攻击者的重点已逐步转向了应用层。2009年SANS的一项研究1表明,针对Web应用程序的攻击已占据了在互联网上观察到攻击总数的60%以上。
在使用本指南时,开发团队应该从评估他们的安全软件开发生命周期成熟度和开发人员知识水平着手。由于本指南不涉及如何实现每个编码规范的具体细节,因此,开发人员需要了解相关知识,或者有足够可用资源来提供必要的指导。通过本指南,开发人员可在无需深入了解安全漏洞和攻击的情况下,将编码规范转换成编码要求。当然,开发团队的其他成员应该有责任,通过提供适当的培训、工具和资源,以验证整个系统的设计和开发是安全的。
- 目录
- 序言 3
- 软件安全与风险原则概览 4
- 输入验证: 5
- 输出编码: 5
- 身份验证和密码管理: 6
- 会话管理: 7
- 访问控制: 7
- 加密规范: 8
- 错误处理和日志: 8
- 数据保护: 9
- 通讯安全: 10
- 系统配置: 10
- 数据库安全: 10
- 文件管理: 11
- 内存管理: 11
- 通用编码规范: 12
- 附录A: 13
- 外部的参考资料: 13
- 附录B: 术语表 14
-
提示本站仅做资料的整理和索引,转载引用请注明出处
相关推荐
-
2020-04-19 14:14:31
-
2019-12-07 11:40:38
-
2016-06-17 14:29:31
-
2017-08-28 11:26:40