Doporučené postupy pro zabezpečení v automatizaci
Doplňky Visual Studio jsou ve verzi aplikace Visual Studio 2013 zastaralé.Měli byste upgradovat doplňky na rozšíření VSPackage.Další informace o upgradu viz Nejčastější dotazy: Převádění doplňků na rozšíření VSPackage.
Vývojáři automatizace Visual Studio musí pochopit a přijmout zodpovědnost za vytváření bezpečných aplikací pochopením bezpečnostních zranitelností.Zabezpečená aplikace chrání důvěrnost, integritu a dostupnost informací zákazníků.Navíc chrání integritu a dostupnost prostředků zpracování, které řídí vlastník nebo správce systému.
Pro účely této diskuse je chyba zabezpečení chybou v produktu, která umožňuje útočníkovi – i když se produkt používá správně – následující:
příslušná oprávnění v systému uživatele,
upravovat, měnit nebo přesměrovat její činnost,
ohrozit jeho data,
-nebo-
předpokládejme neudělenou důvěru.
.gif "Důležitá poznámka") Důležité |
|---|
Nikdy nepředpokládejte, že bude vaše aplikace spuštěna v pouze několika daných prostředích, zejména v případě, že aplikace bude velmi populární.Je pravděpodobné, že bude použit v jiném, nepředvídatelném, nastavení.Místo toho se předpokládá, že váš kód poběží v nejvíce nepřátelských prostředích.Návrh, zápis a test kódu odpovídajícím způsobem. |
Existují výhody vytvoření zabezpečených aplikací.Kód, který je původně navržen a sestaven s ohledem na bezpečnost, je výkonnější, než kód napsaný se zabezpečením, které je přidáno dodatečně.Bezpečně navržené aplikace jsou také mnohem odolnější vůči kritice médií, přitažlivější pro uživatele a méně nákladné na opravu a podporu.
Nebezpečné rozhraní API
Některé funkce rozhraní API lze považovat za více nebezpečné než ostatní z hlediska zabezpečení.Některé mohou být ze své podstaty nebezpečné ve způsobu, jakým fungují.Jiné mohou být nebezpečné, pokud nejsou volány nebo zpracovány správně.Jde o to, že byste se měli seznámit s nástrahami a zvláštnostmi různých funkcí rozhraní API, které voláte, a pokud představují jakýkoli druh bezpečnostního rizika, zajistit správné použití.
Také nepředpokládejte, že protože kód používá pouze funkce rozhraní API, které jsou považovány za "bezpečné", je vaše aplikace automaticky bezpečná a zabezpečená taktéž.Programovací postupy v nedbalosti mohou vystavit aplikaci stejně velkému riziku jako použití údajně „nebezpečných“ funkcí.Takové postupy mohou zahrnovat:
nesprávné zpracování výjimek,
používání pevně zakódovaných cest,
používání pevně zakódovaných propojovacích řetězců,
-nebo-
nekontrolují se správné přihlašovací údaje nebo oprávnění uživatele.
K ochraně vašich aplikací je třeba důkladně porozumět problémům se zabezpečením kódu prozkoumáním tématu.Kniha nakladatelství Microsoft Press Psaní bezpečného kódu a web Rady pro bezpečné psaní kódu na adrese https://msdn2.microsoft.com/library/d55zzx87.aspx jsou dobré zdroje.
Jiný důležitý bod je pochopit, že mnoho problémů se zabezpečením vyplývá z aplikací, které slepě důvěřují vstupu dat.Je nezbytné, aby vaše aplikace pečlivě prozkoumaly a vyhodnotily data po přijetí k ověření, že jsou data důvěryhodná a ve správném formátu, před jejich použitím.
Funkce automatizace zabezpečení
Kromě dodržení těchto pokynů automatizace Visual Studio nabízí některé jednoduché a konkrétní způsoby, jak pomoci zabezpečit systém před zneužitím zabezpečení automatizace.Nezapomeňte však, že se nejedná o všelék pro všechny problémy se zabezpečením.Jde spíše o dobrý začátek.Informace naleznete v části Zabezpečení doplňku.
Pečlivě sledujte a pozorujte bezpečnostní pokyny .NET před vytvářením aplikací automatizace.