中文字幕日韩精品一区二区免费_精品一区二区三区国产精品无卡在_国精品无码专区一区二区三区_国产αv三级中文在线

淺談做程序員需要注意那些規(guī)則

2022-07-14    分類(lèi): 網(wǎng)站建設(shè)

標(biāo)簽:網(wǎng)站建設(shè)成都網(wǎng)站設(shè)計(jì) 程序員

     一、注意編譯器警告

    程序員應(yīng)當(dāng)使用編譯器的高警告等級(jí)。在編譯過(guò)程中,應(yīng)當(dāng)修改程序中的錯(cuò)誤,直到警告解除。應(yīng)當(dāng)使用靜態(tài)和動(dòng)態(tài)的分析工具來(lái)檢測(cè)和清除安全缺陷。

二、根據(jù)安全策略設(shè)置軟件架構(gòu)

   設(shè)計(jì)者應(yīng)創(chuàng)建一個(gè)軟件架構(gòu),并在設(shè)計(jì)軟件的過(guò)程中實(shí)施和強(qiáng)化安全策略。例如,如果你的系統(tǒng)在不同的時(shí)間要求不同的特權(quán),就不妨考慮將系統(tǒng)分解成能夠互聯(lián)通信的不同的子系統(tǒng),每一個(gè)系統(tǒng)都有自己適當(dāng)?shù)奶貦?quán)。這種“分而治之”的方法可以有效地提高應(yīng)用程序的安全性。

    三、驗(yàn)證碼

    程序設(shè)計(jì)者在設(shè)計(jì)程序時(shí)必須驗(yàn)證來(lái)自所有不可信數(shù)據(jù)源的輸入。適當(dāng)?shù)妮斎腧?yàn)證可以清除多數(shù)軟件漏洞。在設(shè)計(jì)程序時(shí),必須對(duì)多數(shù)外部的數(shù)據(jù)源抱著懷疑的態(tài)度,其中包括命令行參數(shù)、網(wǎng)絡(luò)接口、環(huán)境變量、用戶(hù)控制的文件等。

     四、保持程序簡(jiǎn)單

設(shè)計(jì)者要盡量使程序短小精悍。復(fù)雜的設(shè)計(jì)會(huì)增加實(shí)施、配置、使用過(guò)程中出現(xiàn)錯(cuò)誤的可能性。程序越復(fù)雜,就需要越多的復(fù)雜的安全控制,企業(yè)需要付出的努力也就會(huì)越多。

   五、拒絕默認(rèn)訪問(wèn)

訪問(wèn)決策的制定應(yīng)當(dāng)根據(jù)許可權(quán)限而不是根據(jù)其它的任何方面。這意味著,默認(rèn)情況下,應(yīng)當(dāng)拒絕訪問(wèn),程序的保護(hù)機(jī)制應(yīng)當(dāng)根據(jù)“允許誰(shuí)訪問(wèn)”來(lái)確認(rèn)訪問(wèn)條件。

    六、遵循最小特權(quán)原則

程序的每個(gè)處理過(guò)程在執(zhí)行時(shí),都應(yīng)當(dāng)僅使用為完成其工作而需要的最小特權(quán)。任何提升的許可權(quán)限都要盡量持續(xù)最短的時(shí)間。這種方法可以減少攻擊者用提升的特權(quán)執(zhí)行任意代碼的可能性。

    七、“凈化”傳送給其它系統(tǒng)的數(shù)據(jù)

所謂“凈化”是指從用戶(hù)輸入的數(shù)據(jù)中清除惡意數(shù)據(jù),如清除用戶(hù)提交表單時(shí)的惡意的或錯(cuò)誤的字符。

程序設(shè)計(jì)者必須對(duì)傳送到復(fù)雜的子系統(tǒng)(如命令外殼、關(guān)系型數(shù)據(jù)庫(kù)、購(gòu)買(mǎi)的商業(yè)軟件組件)的所有數(shù)據(jù)進(jìn)行“凈化”。攻擊者有可能通過(guò)使用 SQL 注入命令或其它注入攻擊來(lái)調(diào)用這些組件中沒(méi)有被使用的功能。這未必是輸入驗(yàn)證問(wèn)題,因?yàn)楸徽{(diào)用的復(fù)雜的子系統(tǒng)并不理解調(diào)用過(guò)程中的前后關(guān)系。由于調(diào)用程序 理解前后關(guān)系,所以我們要在調(diào)用子系統(tǒng)之前對(duì)數(shù)據(jù)進(jìn)行“凈化”。

      八、實(shí)施深度防御

      程序設(shè)計(jì)必須能夠利用多種防御策略來(lái)管理風(fēng)險(xiǎn)。只有這樣,才能在一層防御不夠用或失效時(shí),另外一層防御可以防止將安全設(shè)計(jì)上的缺陷變成可被利用的漏洞,從而可以限制攻擊者利用漏洞的后果。例如,將安全編程技術(shù)與安全運(yùn)行環(huán)境結(jié)合起來(lái),可以減少在部署階段殘存在代碼中的漏洞被攻擊者在操作環(huán)境中利用的可能性。

     九、使用有效的質(zhì)量保證技術(shù)

良好的質(zhì)量保證技術(shù)可以有效地確認(rèn)和清除漏洞。模糊測(cè)試、滲透測(cè)試、源代碼審計(jì)等都可以結(jié)合起來(lái)使用,以此作為一個(gè)有效的質(zhì)量保證項(xiàng)目的一部 分。獨(dú)立的安全檢查可以使系統(tǒng)更安全。有資質(zhì)的外部審查人員可以提供獨(dú)立的觀點(diǎn),例如,外部人員有助于確認(rèn)和糾正一些錯(cuò)誤的設(shè)想。

當(dāng)然,為保證代碼的安全,企業(yè)應(yīng)當(dāng)為開(kāi)發(fā)語(yǔ)言和平臺(tái)制定并實(shí)施一套健全的編碼標(biāo)準(zhǔn)。

當(dāng)前題目:淺談做程序員需要注意那些規(guī)則
標(biāo)題鏈接:http://www.rwnh.cn/news20/178420.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)頁(yè)設(shè)計(jì)公司外貿(mào)網(wǎng)站建設(shè)、面包屑導(dǎo)航企業(yè)建站、建站公司標(biāo)簽優(yōu)化

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話(huà):028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)

搜索引擎優(yōu)化
湟源县| 沁源县| 双江| 新巴尔虎左旗| 巴青县| 肃南| 汉沽区| 阿鲁科尔沁旗| 垦利县| 江华| 沈阳市| 壶关县| 泰兴市| 抚松县| 吉木萨尔县| 西乡县| 乐山市| 浦县| 霸州市| 通化市| 梁平县| 中宁县| 阳山县| 富民县| 六安市| 工布江达县| 华安县| 宁南县| 文昌市| 南澳县| 三台县| 东光县| 普安县| 开阳县| 雷波县| 灵丘县| 临武县| 萝北县| 应城市| 肃宁县| 北海市|