针对恶意攻击的防御编程

Question

我工作的公司正在重新开发一种供外部使用的内部产品.

该产品最初将在C#中使用WPF开发，然后移植到Silverlight。

重点之一是针对恶意攻击(如SQL注入等)进行编码。

问题：

1. 有人能推荐指向关于安全“最佳实践”的文章的URL吗？
2. 谁能推荐一个分析代码的分析工具来找出弱点。如果可能的话，我们希望将该工具包括在我们的持续集成脚本中。

Answer 1

在MSDN上尝试下面的文章：安全性(如何在C#中使用)。

Answer 2

我想从安全开发开始需要三个步骤：

识别并理解全局：可能会出错

这意味着了解漏洞的技术方面，以及它如何帮助出错。

通常，我会使用owasp的十大web应用程序安全漏洞(google: owasp前10名2007)。

如果你不明白，那么，请，寻求指导。理解这样的文档并不直接告诉您如何构建安全代码，但它是了解安全开发水平的一个很好的指标。

找到导致安全开发的良好通用实践。

虽然许多文档告诉您事情如何出错，但实际上很少有资源告诉您如何在一般情况下避免它们。

目前，我主要推荐这些资源：

• rook的“安全发展原则”(google: David安全开发原则)
• OWASP的十大漏洞保护部分页面(每个条目都可在前10名的在线版本中单击)

找到为您的技术量身定做的资源

使用你说的语言访问那些告诉你“如何做到这一点”的资源。通常情况下，C#。MSDN门户为开发人员提供了许多安全检查列表(http://msdn.microsoft.com/en-us/library/ms998408.aspx)。

最后，进入它:连接到应用程序安全的常规输入，查找博客，阅读新闻(构建带有一些漏洞名称或单词如“应用程序安全”或“安全开发”的Google警报)并查看发生了什么。

希望能帮上忙。

某人

对不起，我是一个新用户，只能在我的答案中发布一个网址:(