보안 API에 대한 모범 사례
보안 소프트웨어를 개발하는 데 도움이 되도록 애플리케이션을 개발할 때 다음 모범 사례를 사용하는 것이 좋습니다. 자세한 내용은 Security Developer Center를 참조 하세요.
보안 개발 수명 주기
SDL(보안 개발 수명 주기)은 일련의 보안 중심 활동 및 결과물을 소프트웨어 개발의 각 단계에 맞추는 프로세스입니다. 이러한 활동 및 결과물은 다음과 같습니다.
- 위협 모델 개발
- 코드 검사 도구 사용
- 코드 검토 및 보안 테스트 수행
SDL에 대한 자세한 내용은 Microsoft 보안 개발 수명 주기를 참조하세요.
위협 모델
위협 모델 분석을 수행하면 코드에서 잠재적 공격 지점을 검색하는 데 도움이 될 수 있습니다. 위협 모델 분석에 대한 자세한 내용은 하워드, 마이클 및 르블랑, 데이비드 [2003], 보안 코드 작성, 2d ed., ISBN 0-7356-1722-8, Microsoft Press, Redmond, Washington을 참조하세요. (일부 언어 및 국가에서는 이 리소스를 사용할 수 없습니다.)
서비스 팩 및 보안 업데이트
빌드 및 테스트 환경은 동일한 수준의 서비스 팩과 대상 사용자 기반의 보안 업데이트를 미러링해야 합니다. 빌드 및 테스트 환경의 일부인 Microsoft 플랫폼 또는 애플리케이션에 대한 최신 서비스 팩 및 보안 업데이트를 설치하고 사용자가 완성된 애플리케이션 환경에 대해 동일한 작업을 수행하도록 권장하는 것이 좋습니다. 서비스 팩 및 보안 업데이트에 대한 자세한 내용은 Microsoft Windows 업데이트 및 Microsoft Security를 참조하세요.
Authorization
최소한의 권한이 필요한 애플리케이션을 만들어야 합니다. 가능한 최소 권한을 사용하면 악성 코드가 컴퓨터 시스템에 손상될 위험이 줄어듭니다. 최소 권한 수준에서 코드를 실행하는 방법에 대한 자세한 내용은 특수 권한으로 실행을 참조 하세요.
추가 정보
모범 사례에 대한 자세한 내용은 다음 항목을 참조하세요.
항목 | 설명 |
---|---|
특수 권한으로 실행 |
권한의 보안 영향에 대해 설명합니다. |
버퍼 오버런 방지 |
버퍼 오버런을 방지하는 방법에 대한 정보를 제공합니다. |
제어 흐름 보호(CFG) |
메모리 손상 취약성에 대해 설명합니다. |
DACL 만들기 |
SDDL(보안 설명자 정의 언어)을 사용하여 DACL(임의 액세스 제어 목록)을 만드는 방법을 보여 줍니다. |
암호 처리 |
암호 사용 시 보안에 미치는 영향에 대해 설명합니다. |
동적 Access Control 개발자 확장성 |
새 동적 Access Control 솔루션에 대한 개발자 확장성 지점 중 일부에 대한 기본 방향입니다. |