Procedimientos recomendados para las API de seguridad
Para poder desarrollar software seguro, se aconseja aplicar los procedimientos recomendados siguientes al desarrollar aplicaciones. Para obtener más información, consulte Centro para desarrolladores de seguridad.
Ciclo de vida de desarrollo de seguridad
El ciclo de vida de desarrollo de seguridad (SDL) es un proceso que acomoda una serie de actividades centradas en la seguridad y recursos a cada fase del desarrollo de software. Entre estas actividades y recursos, se incluyen:
- Desarrollo de modelos de amenazas
- Uso de herramientas de análisis de código
- Aplicación de revisiones de código y pruebas de seguridad
Para obtener más información sobre el SDL, consulte la Ciclo de vida de desarrollo de seguridad de Microsoft.
Modelos de amenazas
Realizar un análisis del modelo de amenazas puede ayudarle a detectar posibles zonas de ataque en el código. Para obtener más información sobre el análisis de modelos de amenazas, consulte Howard, Michael y LeBlanc, David [2003], Writing Secure Code (Escribir código seguro), 2d ed., ISBN 0-7356-1722-8, Microsoft Press, Redmond, Washington. (Es posible que este recurso no esté disponible en algunos idiomas y países).
Service Packs y actualizaciones de seguridad
Los entornos de compilación y prueba deben reflejar los mismos niveles de Service Packs y actualizaciones de seguridad de la base de usuarios correspondiente. Se recomienda instalar los Service Packs y las actualizaciones de seguridad más recientes para cualquier plataforma o aplicación de Microsoft que forme parte del entorno de compilación y prueba y es recomendable invitar a los usuarios a hacer lo mismo en el entorno de aplicación finalizado. Para obtener más información sobre los Service Packs y las actualizaciones de seguridad, consulte Microsoft Windows Update y Seguridad de Microsoft.
Autorización
Debe crear aplicaciones que requieran los menos privilegios posibles. El uso de los privilegios mínimos posibles reduce el riesgo de que el código malintencionado ponga en peligro el sistema informático. Para obtener más información sobre cómo ejecutar código con el menor nivel de privilegios posible, consulte Ejecución con privilegios especiales.
Más información
Para obtener más información sobre los procedimientos recomendados, consulte los temas siguientes.
Tema | Descripción |
---|---|
Ejecución con privilegios especiales |
Aborda las cuestiones sobre seguridad de los privilegios. |
Evitar saturaciones del búfer |
Da información sobre cómo evitar saturaciones de búfer. |
Protección de flujo de control (CFG) |
Describe las vulnerabilidades de daños en la memoria. |
Creación de un DACL |
Indica cómo crear una lista de control de acceso discrecional (DACL) mediante el Lenguaje de definición de descriptores de seguridad (SDDL). |
Control y gestión de contraseñas |
Aborda las cuestiones sobre seguridad al usar contraseñas. |
Extensibilidad del desarrollador para el control de acceso dinámico |
Guía básica sobre algunos de los puntos de extensibilidad del desarrollador para las nuevas soluciones de control de acceso dinámico. |