没有合适的资源?快使用搜索试试~ 我知道了~
OWASP安全编码规范快速参考指1
需积分: 0 0 下载量 89 浏览量
2022-08-04
16:04:44
上传
评论
收藏 457KB PDF 举报
温馨提示
试读
16页
2012 年 8 月目录序言 3软件安全与风险原则概览 4输入验证: 5输出编码: 5身份验证和密码管理: 6会话管理: 7访问控制: 7加密规范: 8错误处理
资源详情
资源评论
资源推荐
2012 年 8 月
中文版 Version 1.0 1
OWASP 安全编码规范
快速参考指南
版权与许可
版权所有:2010年OWASP基金会©
本文档基于 Creative Commons Attribution ShareAlike3.0 license 发布。任何重用或发行,
都必须向他人明确该文档的许可条款。http://creativecommons.org/licenses/by-sa/3.0/
中文版本团队成员
王颉 何勇亮 林恒辉
(欢迎大家指正翻译错误。我们将在以后的版本中修正指出的错误。)
2012 年 8 月
中文版 Version 1.0 2
目录
序言 ................................................................................................................................ 3
软件安全与风险原则概览 ........................................................................................... 4
输入验证: ................................................................................................................ 5
输出编码: ................................................................................................................ 5
身份验证和密码管理: ............................................................................................ 6
会话管理: ................................................................................................................ 7
访问控制: ................................................................................................................ 7
加密规范: ................................................................................................................ 8
错误处理和日志: .................................................................................................... 8
数据保护: ................................................................................................................ 9
通讯安全: .............................................................................................................. 10
系统配置: .............................................................................................................. 10
数据库安全: .......................................................................................................... 10
文件管理: .............................................................................................................. 11
内存管理: .............................................................................................................. 11
通用编码规范: ...................................................................................................... 12
附录 A: ......................................................................................................................... 13
外部的参考资料: .................................................................................................. 13
附录 B: 术语表 ............................................................................................................ 14
2012 年 8 月
中文版 Version 1.0 3
序言
本项与技术无关的文档以清单列表的形式,定义了一套可以集成到软件开发生命周期中的通
用软件安全编码规范。采用这些规范将减少最为常见的软件漏洞。
一般来说,开发安全的软件要比在软件包完成以后再纠正安全问题的成本低很多,且还没涉
及到因为安全问题而造成的损失。
保护关键软件资源的安全性,比以往任何时候都更为重要,因为攻击者的重点已逐步转向了
应用层。2009 年 SANS 的一项研究
1
表明,针对 Web 应用程序的攻击已占据了在互联网上
观察到攻击总数的 60%以上。
在使用本指南时,开发团队应该从评估他们的安全软件开发生命周期成熟度和开发人员知识
水平着手。由于本指南不涉及如何实现每个编码规范的具体细节,因此,开发人员需要了解
相关知识,或者有足够可用资源来提供必要的指导。通过本指南,开发人员可在无需深入了
解安全漏洞和攻击的情况下,将编码规范转换成编码要求。当然,开发团队的其他成员应该
有责任,通过提供适当的培训、工具和资源,以验证整个系统的设计和开发是安全的。
本文档中使用的重要术语,包括部分标题和文字,都以
斜体字
标注,并列举在附录 B 的术语列表
中。
关于安全软件开发框架的指南不属于本文讨论的范围。但是,我们推荐以下额外的常用规范和资
源:
明确定义角色和职责。
为开发团队提供足够的软件安全培训。
采用一个安全软件开发生命周期。
o OWASP CLASP 项目
建立安全编码标准。
o OWASP 开发指南项目
建立一个可重用的对象库文件。
o OWASP Enterprise Security API (ESAPI) 项目
验证安全控制的有效性。
o OWASP Application Security Verification Standard (ASVS) 项目
建立外包开发安全规范,包括在建议书(RFP)和合同中定义安全需求和验证方法。
o OWASP Legal 项目
剩余15页未读,继续阅读
小埋妹妹
- 粉丝: 22
- 资源: 344
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功
评论0