「应用安全」应用安全原则
什么是应用程序安全原则?
应用程序安全性原则是理想的应用程序属性,行为,设计和实现实践的集合,旨在降低威胁实现的可能性,并在威胁实现时产生影响。安全原则是与语言无关的,体系结构中立的原语,可以在大多数软件开发方法中用于设计和构建应用程序。
原则很重要,因为它们可以帮助我们在新的情况下使用相同的基本思想做出安全决策。通过考虑这些原则中的每一个,我们可以得出安全要求,制定架构和实施决策,并识别系统中可能存在的缺陷。
需要记住的重要一点是,为了有用,必须对原则进行评估,解释和应用以解决特定问题。虽然原则可以作为一般指导原则,但只是告诉软件开发人员他们的软件必须“安全地失败”或者他们应该做“深度防御”并不意味着那么多。
一些成熟的应用安全原则
深度应用防御(完全调解)
使用积极的安全模型(故障安全默认值,最小化攻击面)
安全失败
以最小特权运行
通过默默无闻来避免安全(开放式设计)
保持安全简单(可验证,机制经济)
检测入侵(妥协录音)
不要信任基础设施
不要相信服务
建立安全默认值(心理可接受性)
应用安全原则
考虑设计一个简单的Web应用程序,允许用户向朋友发送电子邮件。通过评估和解释每个原则,我们可以对此应用程序产生许多威胁,并最终得出一组保护要求。我们希望最终提供安全提供此服务所需内容的完整列表。
References
Saltzer and Schroeder (see section 3)
The Six Dumbest Ideas in Computer Security
Gary McGraw's 10 steps to secure software
OWASP Development Guide Project
Engineering Principles for Information Technology Security (EP-ITS), by Gary Stoneburner, Clark Hayden, and Alexis, NIST Special Publication (SP) 800-27 (PDF)
Secure Design Principles from "Foundations of Security: What Every Programmer Needs To Know" by Neil Daswani, Christoph Kern, and Anita Kesavan (ISBN 1590597842)
High-Assurance Design by Cliff Berg, 2005, Addison-Wesley. Foreword by Peter G. Neumann. Design principles and patterns for secure and reliable design.
原文:http://pub.intelligentx.net/application-security-principle-0
深入讨论:请加入知识星球【首席架构师圈】
「应用安全」应用安全原则相关推荐
- 三个不等_2道真题,讲透「基本不等式」的使用原则 | 真题精讲-11
「不等式」和「最值」之间有着非常天然的强联系:基本不等式有3个非常明显的形式特征:知识点的用法比知识点本身更重要. 先发福利:这里有6场「高考数学」系列Live的讲义,全拿去,送给你--<高考数 ...
- 锻造「明星产品」的艺术与科学,在于取舍【附乔布斯张小龙的产品设计原则】...
有人说做好产品既是艺术也是科学:艺术在于其没有特定的公式和法则让企业做出成功的产品,更没有高效的捷径可以走:科学在于其存在一定的规律性. 就像苹果公司的一系列产品都被业界认可,争相学习."微 ...
- css就近原则_细品100道CSS知识点(上)「干货满满」
作者:hh_phoebe 转发链接:https://juejin.im/post/5ee0cf335188254ec9505381 目录 细品100道CSS知识点(上)[干货满满]本篇 细品100道C ...
- 【LSP简史】里氏替换原则表述方式的变化,从学术到「人话」
用不同的方式解释同一个事情,会理解的更深刻. 文章目录 表述 1:1987 ~ 1988 年,来自 Barbara Liskov 表述 2:1994 年,来自 Barbara Liskov 表述 3: ...
- 华为的「薪酬领袖」战略和薪酬的谈判原则
loonggg 读完需要 3 分钟 速读仅需 1 分钟 大家好,我是校长. 在这个金三银四的喜欢跳槽求职的季节,我跟大家聊一聊关于薪酬的一些话题. 调薪的两种方式 我们都知道关于涨薪资这件事,应该分为 ...
- 软件测试的8.20原则,四个维度,拆解「软件测试中的80 / 20原则」
一.80% 的软件缺陷,聚集在软件 20% 的模块中 优秀的测试人员会根据这个原则,非常快速的找出较多的缺陷(这个原则可以解释一个你的苦恼:为何你苦苦测了几天,都没发现有啥缺陷:你老大慢悠悠的走了过来 ...
- 职场中的「尼尔森的十大可用性原则」
尼尔森(Jakob Nielsen)是一位人机交互学博士,于1995年1月1日发表了「十大可用性原则」.这本是Web易用性方面的知识,但在我看来,也是一个职场人,在别人眼中是否可用的法则.如果你不可用 ...
- 5分钟带你读「大清」微积分!160多年前清朝数学家撰写文言文版高等数学
视学算法报道 编辑:小咸鱼 好困 [新智元导读]你有见过160多年前清朝数学家写的微积分书吗?这可能是最难懂的高数教材了,堪称天书!近日,网上流传着一本清朝的微积分课本,其中的所有数学表达式都是 ...
- 「留光」1小时:中科大让我们离「量子U盘」又近了一步
视学算法报道 转载自:机器之心 编辑:张倩.小舟 「简单来说,我们就是用一块晶体把光『存起来』,一个小时后取出来发现,它的相位.偏振等状态信息还保存得很好.」 存储器的功能就是把信息存储起来,直到需要 ...
最新文章
- 浅析如何让网站建设更具新颖?
- LeetCode:Longest Consecutive Sequence
- Robot Framework 实战中学习(Web自动化)
- 解决linux下source /etc/profile关闭终端失效问题
- 使用python实现GBK转unicode码查询表
- usage: git remote add [options] name url -f, --fetch fetch the remote branches ...
- 敏捷个人新体系学习 - 1.实践的艺术
- weui和jquery weui的区别、下载和在项目中的引用、使用、应用
- YOLO算法之YOLOv2精讲
- iOS 元素定位方式总结
- linux谷歌浏览器总是崩溃,Ubuntu 18.04谷歌浏览器Chrome卡死的原因及解决
- python可以用于工业机器人编程_工业机器人四种编程技术
- 金融市场一周简报(2017-08-18)
- 阿里那些吊炸天的开源工具,你知道几个?
- 方向比努力重要 能力比知识重要 健康比成绩重要 生活比文凭重要 情商比智商重要
- uniapp实现点击播放mp3音频文件
- Micro LED - OLED注定过渡
- PHP面向对象——GD库实现图片水印和缩略图
- python中叹号的用法_感叹号
- 第1关:小球自由落体运动-------C语言程序设计技术(循环结构程序设计1)