Najważniejsze wskazówki dotyczące zabezpieczeń w automatyzacji
Visual Studioautomatyzacji deweloperzy muszą zrozumieć i przyjmować odpowiedzialność za tworzenie bezpiecznych aplikacji zrozumienie luk w zabezpieczeniach.Zabezpieczonej aplikacji chroni poufność, integralność i dostępność danych klientów.Ponadto chroni integralność i dostępność zasobów przetwarzania, które kontroluje właściciel lub administrator systemu.
Do celów tej dyskusji, luka w zabezpieczeniach jest luka w produkcie, który umożliwia osobie atakującej — nawet gdy produkt jest używany prawidłowo — do:
odpowiednie uprawnienia w systemie użytkownika
regulowania, zmienić lub przekierować jego operacji
złamanie jego danych
- lub -
przyjmuje ungranted zaufania.
.gif "Ważna uwaga") Ważne |
|---|
Nigdy nie wolno zakładać że aplikacja będzie działać w tylko kilka środowiskach danego, zwłaszcza, jeśli aplikacja staje się bardzo popularny.Szanse są dobre, że będą używane w innym, nieprzewidziane, ustawienie.Zamiast tego należy zakładać, że kod będzie uruchamiana w większości środowisk.Projektowanie, zapisu i odpowiednio przetestować swój kod. |
Istnieją korzyści rzemieślniczy bezpiecznych aplikacji.Kod, który został pierwotnie zaprojektowany i zbudowany z myślą o bezpieczeństwie jest bardziej rozbudowany niż kod napisany z zabezpieczeniami, który jest dodawany do oryginalnego tekstu.Bezpiecznie opracowane aplikacje są bardziej odporne na krytyki mediów, bardziej atrakcyjny dla użytkowników i mniej kosztowne, napraw i obsługi.
Ryzykowne API
Niektóre funkcje API można uznać za bardziej ryzykowne niż inne z punktu widzenia zabezpieczeń.Niektóre mogą być założenia ryzykowne w sposób, że działają.Inni mogą być ryzykowne, jeśli nie o nazwie lub obsługiwane poprawnie.Punkt jest, że należy się zapoznać z pułapek i quirks różnych funkcji API wywołać i jeśli stanowią one wszelkie sortowania zagrożenie bezpieczeństwa, upewnij się, że są one wykorzystywane prawidłowo.
Również nie zakładać, że ponieważ kod wykorzystuje tylko te funkcje interfejsu API, które są traktowane jako "bezpieczne" które aplikacja automatycznie bezpieczne i bezpieczne jak również.Skutek niedbalstwa bezpiecznego programowania może narazić aplikacji jako ryzyka znacznie lub więcej niż przy użyciu funkcji rzekomo "niebezpieczne".Praktyki takie mogą zawierać:
nie prawidłowo, obsługa wyjątków
przy użyciu zakodowane ścieżek
przy użyciu ciągów połączeń zakodowane,
- lub -
nie sprawdza poświadczenia właściwego użytkownika lub uprawnień.
W celu ochrony aplikacji, należy dokładnie zrozumieć problemy dotyczące zabezpieczeń kodu przez przedmiotem badania.Książki Microsoft Press, Writing Secure Code i wskazówki dotyczące zabezpieczeń kodowania witrynie https://msdn2.microsoft.com/en-us/library/d55zzx87.aspx są dobre zasobów.
Innym ważnym punktem zrozumienie jest, że wiele problemów z zabezpieczeniami wynikiem aplikacje, które ślepo zaufania dane wejściowe.Jest istotne, aby aplikacje starannie zbadać i oceniać dane w otrzymanym Aby sprawdzić, czy dane są poprawnie sformułowane i wiarygodny, przed jej użyciem.
Funkcje zabezpieczeń automatyzacji
Oprócz poniższych wskazówek, Visual Studio automatyzacji oferuje niektóre proste, szczególne sposoby pomóc w zabezpieczeniu systemu, z automatyzacji plastycznych zabezpieczeń.Należy jednak pamiętać, że nie są one panaceum dla wszystkich problemów z zabezpieczeniami.Są one raczej dobry początek.Aby uzyskać informacje, zobacz Dodawanie zabezpieczeń.
Badania i wykonaj.Zasady bezpieczeństwa netto starannie przed rozpoczęciem konstruowania aplikacji automatyzacji.