避免软件安全设计严重缺陷的十大忠告

避免软件安全设计严重缺陷的十大忠告

黑客学院访客2021-10-12 6:12:0010272A+A-

  软件bug和设计缺陷是两个完全不同的安全概念,人们热衷于在bug上花费大量精力财力,但是导致50%软件安全问题的软件安全设计,却鲜有人问津。

  IEEE安全设计中心(CSD)是IEEE计算机协会于2014年启动的网络安全计划的一部分,目的是扩大IEEE在网络安全领域的影响力。

  IEEE安全设计中心专注于软件设计缺陷的检测,近日该机构发布了一个报告《避免十大软件安全设计缺陷》,该报告采集并分析了全球最顶尖科技企业的真实数据并得出结论。

  过去数十年中,安全设计一直是安全开发的阿喀琉斯之踵,主要是因为技术门槛太高,懂行的专家又太少。因而IEEE CSD将关注的重点放在了当今最棘手的信息安全问题——安全设计。以下是CSD报告中指出的避免十大软件安全设计缺陷的忠告(有兴趣的读者还可以在文章结尾下载报告原文,密码:aqniu):

  争取或给予,但永远不要假设、相信(可信)

  使用无法绕过或者篡改的认证机制

  先认证后授权

  严格分离数据和控制指令,永远不要执行来自非可信源的控制指令

  定义一种方法来确保所有数据都被显式验证(explicitly validated)

  正确使用加密技术(参考阅读:企业需升级SSL/TLS加密算法)

  识别敏感数据及相应的处理方法

  永远从用户角度出发

  了解对外部组件的集成将如何改变你的攻击面(attack surface)

  保持面向未来(对象和人员)的灵活性

 

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 2条评论
  • 末屿笙痞2022-06-01 07:10:26
  • 顶尖科技企业的真实数据并得出结论。  过去数十年中,安全设计一直是安全开发的阿喀琉斯之踵,主要是因为技术门槛太高,懂行的专家又太少。因而IEEE CSD将关注的重点放在了当今最棘手的信息安全问题——安全设
  • 可难烟柳2022-06-01 08:41:04
  • 使用加密技术(参考阅读:企业需升级SSL/TLS加密算法)  识别敏感数据及相应的处理方法  永远从用户角度出发  了解对外部组件的集成将如何改变你的攻击面(attack surface)  保持面向未来(对象和人员)的灵活性 

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理