Programmation défensive contre les attaques malveillantes

Question

La société pour laquelle je travaille réaménage un produit interne pour usage externe.

Le produit sera initialement développé en C# à l'aide de WPF, puis porté sur Silverlight.

L'un des points principaux est le codage contre les attaques malveillantes, par ex. injection SQL, etc.

Questions:

1. Quelqu'un peut-il recommander des URL pointant vers des articles sur la sécurité 'meilleures pratiques'.
2. Quelqu'un peut-il recommander un outil d'analyse pour analyser le code afin d'identifier les faiblesses. Nous aimerions, si possible, inclure l'outil dans nos scripts d'intégration continue.

Answer 1

Essayez l'article suivant sur MSDN: Security (How Do I in C#).

Answer 2

La meilleure ressource que j'ai trouvé est ici:

http://www.owasp.org/index.php/Main_Page

Dans ce site, je commence ici:

http://www.owasp.org/index.php/Top_10_2007

Le top 10 est pour le site web vulnérabilités, mais les concepts s'appliquent à tous les types d'applications. À mon avis, vous ne pouvez vraiment pas faire mieux en ce qui concerne l'apprentissage du codage sécurisé.

Ce site fournit les meilleures pratiques, les outils et rend vraiment tout compréhensible quel que soit votre niveau de compétence.

* Ajout *

Une autre bonne ressource est la documentation MSDN, puisque votre question est étiqueté comme C#.

http://msdn.microsoft.com/en-us/library/ms998408.aspx

Answer 3

Je suppose que commencer par le développement sécurisé signifierait trois étapes:

Identifier et comprendre la grande image: ce qui peut aller mal

Cela signifie comprendre les aspects techniques d'une vulnérabilité et comment il contribue à rendre les choses vont mal.

Typiquement, j'irais avec le Top 10 des failles de sécurité des applications web de l'OWASP (google: owasp top 10 2007).

Si vous ne le comprenez pas, alors, s'il vous plaît, demandez des conseils. Comprendre un tel document ne vous dit pas directement comment construire du code sécurisé, mais c'est un bon indicateur de votre niveau de compréhension du développement sécurisé.

Trouver les bonnes pratiques générales qui mènent à assurer un développement

Alors que de nombreux documents vous dire comment les choses peuvent mal tourner, peu de ressources vous dire vraiment comment les éviter d'une manière générale.

Actuellement, je vous recommande surtout ces ressources:

• David Rook "Les principes de développement sécurisé" (google: david principes freux de développement sécurisé)
• OWASP Top 10 vulnérabilités pages de la section de protection (chaque entrée est cliquable sur la version en ligne du Top 10)

trouver des ressources sur mesure pour votre technologie

Accédez aux ressources qui vous indiquent «comment faire ceci» dans une langue que vous parlez. Typiquement, C#. Le portail MSDN fournit aux développeurs de nombreuses listes de contrôle de sécurité (http://msdn.microsoft.com/en-us/library/ms998408.aspx). Enfin, entrez: connectez-vous régulièrement à la sécurité des applications, recherchez des blogs, lisez des nouvelles (créez des alertes Google avec des noms de vulnérabilités ou des mots tels que 'sécurité des applications' ou 'développement sécurisé') et voyez ce qui se passe.

Espérons que ça aide.

sb

PS: désolé pour les liens 'google', je suis un nouvel utilisateur et ne peut poster 1 url dans mes réponses :(