01.12.2008  Новости

Неприбыльная организация Software Assurance Forum for Excellence in Code при спонсорской поддержке компаний EMC, Juniper, Microsoft, SAP и Symantec выпустила отчет с рекомендациями по проектированию и созданию ПО, более-менее защищенного от типовых ошибок и уязвимостей. В частности, предложено: - минимизировать использование стандартных функций, некорректный вызов которых приводит к ошибкам (например, переполнению буфера при неаккуратно заданных параметрах), и применять их защищенные аналоги; - использовать самые последние версии компиляторов, настраивая их на защиту от ошибок времени выполнения; - применять средства статического и динамического анализа исходных и двоичных кодов на корректность; - вручную проверять наиболее критичные участки кода; - программно тестировать корректность входных и выходных данных; - применять при создании веб-систем библиотеки, препятствующие XSS-атакам (“межсайтовому скриптингу”); - формировать SQL-запросы не конкатенацией строк с константами, а с помощью параметров; - отказаться от скомпрометированных алгоритмов шифрования (MD4, MD5, SHA1 и др.); - организовать внутри ... читать далее.