据国外权威调查组织结果显示,75%的安全问题竟不是系统问题,反而是应用软件上的程序漏洞与缺陷.
蔺华讲师在讲座一开始就列举了大量漏洞示例代码,阐述代码安全的重要性.这场课程将以实例的方式来说明VS2005.net是如何保证代码和程序安全的.不过讲座过程中有不少插曲,演示目标虚拟机出毛病,协作安全代码的阐述让人听得云里雾里,我已经把要点都归纳了下来,大家先看吧.
蔺华讲师在讲座一开始就列举了大量漏洞示例代码,阐述代码安全的重要性.这场课程将以实例的方式来说明VS2005.net是如何保证代码和程序安全的.不过讲座过程中有不少插曲,演示目标虚拟机出毛病,协作安全代码的阐述让人听得云里雾里,我已经把要点都归纳了下来,大家先看吧.
经常出现的程序漏洞例.
VisualStudio Team System架构图
VisualStudio Team System:是一个客户端-服务器端的独立开发管理工具.是现有IDE的下一代产品,是一个基于WebService的应用,可以利用IIS的站点模式进行管理,包括代码,项目的管理.
传说中的程序权限许可计算器
在VisualStudio.net 2005中,开发者可以连接到一个Team Server开始以不同的权限协作编程和代码管理工作.在Team Server中,管理员可以检查应用的安全性需求,对调用的API做静态分析评估,设置API的权限集,新提供的"应用程序计算器"将自动计算并分配程序所能达到的最小权限.
VS2005在代码控制上,提倡用最小权限来开发和测试,可以在程序权限计算器上设定区域,早在开发时,当程序出现项目管理定义之外问题的时候,VS集成环境就会告警,及早地防患于未然.
VS.net 2005额外添加了数据保护API,内建到.net Framework中,从系统底层开始注重安全保护,最大限度地发挥Win2K系统以后的安全的内存管理模式.也可以与其它加密算法绑定,Try to find a new way.
PREfast静态安全扫描实用程序可以自动扫描C/C++的已知缺陷,甚至可以自定义扫描识别规则.但微软相信这款实用工具只能视陪练,因为C和C++的运行库是基于Safe Runtime来写的,基本可以保证代码的安全.同时,/GS开关可以降低缓冲区溢出的发生率.