Procedure consigliate per i API Sicurezza
Per sviluppare software sicuro, è consigliabile usare le procedure consigliate seguenti per lo sviluppo di applicazioni. Per altre informazioni, vedere Centro per sviluppatori per la sicurezza.
Ciclo di vita dello sviluppo della sicurezza
Security Development Life Cycle (SDL) è un processo che allinea una serie di attività incentrate sulla sicurezza e risultati finali a ogni fase dello sviluppo software. Queste attività e risultati finali includono:
- Sviluppo di modelli di minaccia
- Uso degli strumenti di analisi del codice
- Esecuzione di revisioni del codice e test di sicurezza
Per altre informazioni su SDL, vedere Ciclo di vita per lo sviluppo della sicurezza Microsoft.
Modelli di minaccia
L'esecuzione di un'analisi del modello di minaccia consente di individuare potenziali punti di attacco nel codice. Per altre informazioni sull'analisi del modello di minaccia, vedere Howard, Michael e LeBlanc, David [2003], Writing Secure Code, 2d ed., ISBN 0-7356-1722-8, Microsoft Press, Redmond, Washington. Questa risorsa potrebbe non essere disponibile in alcune lingue e paesi.
Service Pack e aggiornamenti della sicurezza
Gli ambienti di compilazione e test devono rispecchiare gli stessi livelli di Service Pack e gli aggiornamenti della sicurezza della base utenti di destinazione. È consigliabile installare i Service Pack e gli aggiornamenti della sicurezza più recenti per qualsiasi piattaforma o applicazione Microsoft che fa parte dell'ambiente di compilazione e test e incoraggiare gli utenti a eseguire le stesse operazioni per l'ambiente dell'applicazione completato. Per altre informazioni sui Service Pack e sugli aggiornamenti della sicurezza, vedere Microsoft Windows Update e Microsoft Security.
Autorizzazione
È consigliabile creare applicazioni che richiedono il privilegio minimo possibile. L'uso del privilegio minimo possibile riduce il rischio di compromissione del sistema informatico da parte di codice dannoso. Per altre informazioni sull'esecuzione del codice nel livello di privilegio minimo possibile, vedere Esecuzione con privilegi speciali.
Ulteriori informazioni
Per altre informazioni sulle procedure consigliate, vedere gli argomenti seguenti.
Argomento | Descrizione |
---|---|
Esecuzione con privilegi speciali |
Vengono illustrate le implicazioni di sicurezza dei privilegi. |
Evitare sovraccarichi del buffer |
Fornisce informazioni su come evitare sovraccarichi del buffer. |
Control Flow Guard (CFG) |
Vengono illustrate le vulnerabilità di danneggiamento della memoria. |
Creazione di un DACL |
Illustra come creare un elenco di controllo di accesso discrezionale (DACL) usando il linguaggio SDDL (Security Descriptor Definition Language ). |
Gestione delle password |
Vengono illustrate le implicazioni per la sicurezza dell'uso delle password. |
Estendibilità dello sviluppatore Controllo di accesso dinamica |
Orientamento di base ad alcuni dei punti di estendibilità dello sviluppatore per le nuove soluzioni Controllo di accesso dinamiche. |