【免费】OWASP安全编码规范快速参考指1资源-CSDN文库

需积分: 0 89 浏览量 2022-08-04 16:04:44 上传评论收藏 457KB PDF 举报

资源详情

资源评论

资源推荐

2012 年 8 月

中文版 Version 1.0 1

OWASP 安全编码规范

快速参考指南

版权与许可

本文档基于 Creative Commons Attribution ShareAlike3.0 license 发布。任何重用或发行，

都必须向他人明确该文档的许可条款。http://creativecommons.org/licenses/by-sa/3.0/

中文版本团队成员

王颉何勇亮林恒辉

（欢迎大家指正翻译错误。我们将在以后的版本中修正指出的错误。）

2012 年 8 月

中文版 Version 1.0 2

序言 ................................................................................................................................ 3

软件安全与风险原则概览 ........................................................................................... 4

输入验证： ................................................................................................................ 5

输出编码： ................................................................................................................ 5

身份验证和密码管理： ............................................................................................ 6

会话管理： ................................................................................................................ 7

访问控制： ................................................................................................................ 7

加密规范： ................................................................................................................ 8

错误处理和日志： .................................................................................................... 8

数据保护： ................................................................................................................ 9

通讯安全： .............................................................................................................. 10

系统配置： .............................................................................................................. 10

数据库安全： .......................................................................................................... 10

文件管理： .............................................................................................................. 11

内存管理： .............................................................................................................. 11

通用编码规范： ...................................................................................................... 12

附录 A: ......................................................................................................................... 13

外部的参考资料： .................................................................................................. 13

附录 B: 术语表 ............................................................................................................ 14

2012 年 8 月

中文版 Version 1.0 3

序言

本项与技术无关的文档以清单列表的形式，定义了一套可以集成到软件开发生命周期中的通

用软件安全编码规范。采用这些规范将减少最为常见的软件漏洞。

一般来说，开发安全的软件要比在软件包完成以后再纠正安全问题的成本低很多，且还没涉

及到因为安全问题而造成的损失。

保护关键软件资源的安全性，比以往任何时候都更为重要，因为攻击者的重点已逐步转向了

应用层。2009 年 SANS 的一项研究

表明，针对 Web 应用程序的攻击已占据了在互联网上

观察到攻击总数的 60％以上。

在使用本指南时，开发团队应该从评估他们的安全软件开发生命周期成熟度和开发人员知识

水平着手。由于本指南不涉及如何实现每个编码规范的具体细节，因此，开发人员需要了解

相关知识，或者有足够可用资源来提供必要的指导。通过本指南，开发人员可在无需深入了

解安全漏洞和攻击的情况下，将编码规范转换成编码要求。当然，开发团队的其他成员应该

有责任，通过提供适当的培训、工具和资源，以验证整个系统的设计和开发是安全的。

本文档中使用的重要术语，包括部分标题和文字，都以

斜体字

标注，并列举在附录 B 的术语列表

中。

关于安全软件开发框架的指南不属于本文讨论的范围。但是，我们推荐以下额外的常用规范和资

源：

 明确定义角色和职责。

 为开发团队提供足够的软件安全培训。

 采用一个安全软件开发生命周期。

o OWASP CLASP 项目

 建立安全编码标准。

o OWASP 开发指南项目

 建立一个可重用的对象库文件。

o OWASP Enterprise Security API (ESAPI) 项目

 验证安全控制的有效性。

o OWASP Application Security Verification Standard (ASVS) 项目

 建立外包开发安全规范，包括在建议书（RFP）和合同中定义安全需求和验证方法。

o OWASP Legal 项目

剩余15页未读，继续阅读

评论收藏

内容反馈

小埋妹妹

粉丝: 22
资源: 344

OWASP安全编码规范快速参考指1

评论0

最新资源

OWASP安全编码规范快速参考指1

评论0

OWASP安全编码规范快速参考指南

OWASP_安全编码规范快速参考指南

OWASP安全编码规范1

OWASP-安全编码规范参考指南

OWASP-安全编码规范参考指南.pdf

OWASP 安全编码规范（2022版）

公司安全编码规范合集.zip

APT OWASP-安全编码规范参考指南 - eclipse.zip

OWASP安全编码指南.zip

关于OWASP安全编码指南的介绍.zip

OWASP安全编码建议PPT课件.ppt

各类语言的编码规范.zip

OWASP_SCP_Quick_Reference_Guide -Chinese

owasp测试指南--安全编码规范中文版

OWASP安全培训资料

OWASP应用安全设计指导.pdf

owasp安全测试指南

OWASP安全测试指南v4（英文版）

OWASP 移动安全测试指南20210415.pdf

BurpLoaderKeygen.jar.zip

最新版ISO/IEC 27001:2022、ISO 27002:2022中英文合集

Goby红队版-win-x64-2.4.7版本

Chrome Header Editor 插件

ISO SAE 21434-2021 中文版.pdf

OpenVAS GVM 中文翻译补丁

安全认证cisp教材全套

STM32F103C8T6核心板-电路原理图1.PDF

软件工程导论(第六版)课后习题答案1

最新资源