• 软件安全底线


    本文来自StackOverflow上的一个问答贴。网友 M.H 提问: 我是一名IT专业学生,现在是大三,直到现在我们才开始学习很多计算机相关的课程(编程、算法、计算机体系结构、数学等……)。但是还有一个叫“安全”的世界离我们很远,我是指:计算机安全、互联网安全、网络安全、Hacking、破解等。

    我很确信没有人可以知晓所有安全知识,但我确信,肯定有一定的“最低限度”知识,是每个程序员或IT学生应当了解的。我的问题是,那些“最低限度”知识包括了哪些?希望您能给我建议一些电子书,或课程,或任何有助于我探索这条路的东西。

     
    目前这个问题得分最高的回复是由bignum 提供的,如下:


    如果想要你的程序是安全的,请记住如下原则:

    ● 不要信任用户的输入信息!

    ● 验证所有来自非信任源的输入信息,是使用白名单,不是黑名单。

    ● 从一开始就要策划安全。安全并不是可以在最后来做的。

    ● 保持简单。复杂性会增加安全漏洞的可能性。

    ● 最低限度保持你程序的攻击面(attack surface)。

    ● 确保程序有“自动防故障装置”(Fail-safe

    ● 采用深度防御(defence in depth

    ● 坚持最小特权原则(least privilege

    ● 采用威胁建模(threat modelling)(Web程序更应如此)

    ● 权限分离(Compartmentalize

    ● 没有不透风的墙,在代码中隐藏秘密都无法长久。

    ● Don’t write your own crypto / 不要自己编写一种加密方法 (译注:见下文另外一位网友的回复)

    ● 采用加密(crypto),并不意味着你就安全了(攻击者会寻找弱点)

    ● 注意缓冲区溢出,并了解如何防范


    下面是一些优秀书籍和在线文章:

    ●《 Writng Secure Code  | 编写安全的代码 (第二版)》-  我认为每个程序员都该读读这本书。

  • 相关阅读:
    rails 相关文件
    linux学习---vi进行多行的copy,cut
    设计
    互联网---现在正在变成过去
    testing
    TTl
    如何成为优秀的性能测试工程师
    linuX学习
    Programiz 中文系列教程·翻译完成
    Programiz C 语言教程·翻译完成
  • 原文地址:https://www.cnblogs.com/xuvw/p/3068342.html
Copyright © 2020-2023  润新知