注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

软件大铺的博客

IT技术共享

 
 
 

日志

 
 

程序员都应该了解哪些安全知识  

2012-04-10 22:04:34|  分类: 信息分享 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

 

       导读:本文来自 StackOverflow 上的一个问答贴。网友 M.H 提问: 我是一名 IT 专业学生,现在是大三,直到现在我们才开始学习很多计算机相关的课程(编程、算法、计算机体系结构、数学等……)。

  但是还有一个叫“安全”的世界离我们很远,我是指:计算机安全、互联网安全、网络安全、Hacking、破解等。

  我很确信没有人可以知晓所有安全知识,但我确信,肯定有一定的“最低限度”知识,是每个程序员或 IT 学生应当了解的。我的问题是,那些“最低限度”知识包括了哪些?希望您能给我建议一些电子书,或课程,或任何有助于我探索这条路的东西。

  目前这个问题得分最高的回复是由 bignum 提供的,如下:

  如果想要你的程序是安全的,请记住如下原则:

  ● 不要信任用户的输入信息!

  ● 验证所有来自非信任源的输入信息,是使用白名单,不是黑名单。

  ● 从一开始就要策划安全。安全并不是可以在最后来做的。

  ● 保持简单。复杂性会增加安全漏洞的可能性。

  ● 最低限度保持你程序的攻击面(attack surface)。

  ● 确保程序有“自动防故障装置”(Fail-safe

  ● 采用深度防御(defence in depth

  ● 坚持最小特权原则(least privilege

  ● 采用威胁建模(threat modelling)(Web 程序更应如此)

  ● 权限分离(Compartmentalize

  ● 没有不透风的墙,在代码中隐藏秘密都无法长久。

  ● Don’t write your own crypto / 不要自己编写一种加密方法 (译注:见下文另外一位网友的回复)

  ● 采用加密(crypto),并不意味着你就安全了(攻击者会寻找弱点)

  ● 注意缓冲区溢出,并了解如何防范

  下面是一些优秀书籍和在线文章:

  ●《 Writng Secure Code 编写安全的代码 (第二版)》- 我认为每个程序员都该读读这本书 (译注:第二版还没有中文,据说在翻译中……)

Writing Secure Code, Second Edition

  ● Building Secure Software: How to Avoid Security Problems the Right Way 构建安全的软件:避免产生软件安全问题的正确方法

Building Secure Software: How to Avoid Security Problems the Right Way

  ● Secure Programming Cookbook for C and C++: Recipes for Cryptography, Authentication, Input Validation & More

Secure Programming Cookbook

  ● Exploiting Software (译注:在线电子书)

  ● Security Engineering (an excellent read,在线电子书)

  ● Secure Programming for Linux and Unix HOWTO (译注:在线电子书)

  Tyler McHenry 也给出了他认为程序员做安全的第一原则:Don’t roll your own。除非你是安全专家或密码破译专家,否则就采用现有的成熟安全平台、框架、或库。这些东西都经过了专家和黑客们深思熟虑、修补、更新和检测。你得利用这些优势,而不是忽视,试图推到重来

        英文原文:StackOverflow 编译:伯乐在线 – 黄利民

        来自: blog.jobbole.com


  评论这张
 
阅读(768)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017