Compartir a través de


Procedimientos recomendados para las API de seguridad

Para poder desarrollar software seguro, se aconseja aplicar los procedimientos recomendados siguientes al desarrollar aplicaciones. Para obtener más información, consulte Centro para desarrolladores de seguridad.

Ciclo de vida de desarrollo de seguridad

El ciclo de vida de desarrollo de seguridad (SDL) es un proceso que acomoda una serie de actividades centradas en la seguridad y recursos a cada fase del desarrollo de software. Entre estas actividades y recursos, se incluyen:

  • Desarrollo de modelos de amenazas
  • Uso de herramientas de análisis de código
  • Aplicación de revisiones de código y pruebas de seguridad

Para obtener más información sobre el SDL, consulte la Ciclo de vida de desarrollo de seguridad de Microsoft.

Modelos de amenazas

Realizar un análisis del modelo de amenazas puede ayudarle a detectar posibles zonas de ataque en el código. Para obtener más información sobre el análisis de modelos de amenazas, consulte Howard, Michael y LeBlanc, David [2003], Writing Secure Code (Escribir código seguro), 2d ed., ISBN 0-7356-1722-8, Microsoft Press, Redmond, Washington. (Es posible que este recurso no esté disponible en algunos idiomas y países).

Service Packs y actualizaciones de seguridad

Los entornos de compilación y prueba deben reflejar los mismos niveles de Service Packs y actualizaciones de seguridad de la base de usuarios correspondiente. Se recomienda instalar los Service Packs y las actualizaciones de seguridad más recientes para cualquier plataforma o aplicación de Microsoft que forme parte del entorno de compilación y prueba y es recomendable invitar a los usuarios a hacer lo mismo en el entorno de aplicación finalizado. Para obtener más información sobre los Service Packs y las actualizaciones de seguridad, consulte Microsoft Windows Update y Seguridad de Microsoft.

Autorización

Debe crear aplicaciones que requieran los menos privilegios posibles. El uso de los privilegios mínimos posibles reduce el riesgo de que el código malintencionado ponga en peligro el sistema informático. Para obtener más información sobre cómo ejecutar código con el menor nivel de privilegios posible, consulte Ejecución con privilegios especiales.

Más información

Para obtener más información sobre los procedimientos recomendados, consulte los temas siguientes.

Tema Descripción
Ejecución con privilegios especiales
Aborda las cuestiones sobre seguridad de los privilegios.
Evitar saturaciones del búfer
Da información sobre cómo evitar saturaciones de búfer.
Protección de flujo de control (CFG)
Describe las vulnerabilidades de daños en la memoria.
Creación de un DACL
Indica cómo crear una lista de control de acceso discrecional (DACL) mediante el Lenguaje de definición de descriptores de seguridad (SDDL).
Control y gestión de contraseñas
Aborda las cuestiones sobre seguridad al usar contraseñas.
Extensibilidad del desarrollador para el control de acceso dinámico
Guía básica sobre algunos de los puntos de extensibilidad del desarrollador para las nuevas soluciones de control de acceso dinámico.