Meilleures pratiques pour les API de sécurité
Pour vous aider à développer des logiciels sécurisés, nous vous recommandons d’utiliser les meilleures pratiques suivantes lors du développement d’applications. Pour plus d’informations, consultez Security Developer Center.
Cycle de vie du développement de la sécurité
Le cycle de vie du développement de la sécurité (SDL) est un processus qui aligne une série d’activités et de livrables axés sur la sécurité à chaque phase de développement logiciel. Ces activités et livrables sont les suivants :
- Développement de modèles de menace
- Utilisation des outils d’analyse du code
- Effectuer des révisions de code et des tests de sécurité
Pour plus d’informations sur sdl, consultez le cycle de vie du développement de sécurité Microsoft.
Modèles de menace
L’analyse d’un modèle de menace peut vous aider à découvrir des points d’attaque potentiels dans votre code. Pour plus d’informations sur l’analyse des modèles de menace, consultez Howard, Michael et LeBlanc, David [2003], Writing Secure Code, 2d ed., ISBN 0-7356-1722-8, Microsoft Press, Redmond, Washington. (Cette ressource n’est peut-être pas disponible dans certaines langues et certains pays.)
Service Packs et Mises à jour de sécurité
Les environnements de build et de test doivent miroir les mêmes niveaux de Service Packs et de mises à jour de sécurité que la base d’utilisateurs ciblée. Nous vous recommandons d’installer les derniers Service Packs et mises à jour de sécurité pour toute plateforme ou application Microsoft qui fait partie de votre environnement de génération et de test, et d’encourager vos utilisateurs à faire de même pour l’environnement d’application terminé. Pour plus d’informations sur les Service Packs et les mises à jour de sécurité, consultez Microsoft Windows Update et Sécurité Microsoft.
Autorisation
Vous devez créer des applications qui nécessitent le moins de privilèges possible. L’utilisation du moins de privilèges possible réduit le risque de code malveillant compromettant votre système informatique. Pour plus d’informations sur l’exécution du code au niveau de privilège le plus bas possible, consultez Exécution avec des privilèges spéciaux.
Informations complémentaires
Pour plus d’informations sur les meilleures pratiques, consultez les rubriques suivantes.
Rubrique | Description |
---|---|
Exécution avec des privilèges spéciaux |
Traite des implications en matière de sécurité des privilèges. |
Éviter les dépassements de mémoire tampon |
Fournit des informations sur la prévention des dépassements de mémoire tampon. |
Control Flow Guard (CFG) |
Traite des vulnérabilités d’altération de la mémoire. |
Création d’un DACL |
Montre comment créer une liste de contrôle d’accès discrétionnaire (DACL) à l’aide du langage SDDL ( Security Descriptor Definition Language ). |
Gestion des mots de passe |
Traite des implications en matière de sécurité de l’utilisation de mots de passe. |
Guide pratique pour optimiser votre recherche msdn dans une bibliothèque |
Décrit les options de recherche dans le contenu du Kit de développement logiciel (SDK) sécurité sur MSDN Library. |
Extensibilité dynamique Access Control développeur |
Orientation de base sur certains points d’extensibilité des développeurs pour les nouvelles solutions de Access Control dynamiques. |
Commentaires
https://aka.ms/ContentUserFeedback.
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultezEnvoyer et afficher des commentaires pour