2022年CISP教材知識(shí)點(diǎn)整理：軟件安全實(shí)現(xiàn)

10.3知識(shí)子域：軟件安全實(shí)現(xiàn)

10.3.1安全編碼原則

CERT發(fā)布的有關(guān)C、C++、Java等語(yǔ)言的著名安全編碼標(biāo)準(zhǔn)

OWASP發(fā)布了《OWSAP安全編碼規(guī)范快速參考指南》

1.驗(yàn)證輸入

常見的輸入源如下：

（1）命令行參數(shù)

（2）環(huán)境變量

（3）文件及文件名

（4）網(wǎng)絡(luò)數(shù)據(jù)

（5）其他來源

2.避免緩存溢出

避免緩沖區(qū)溢出，可以使用很多安全防御措施

（1）精心編程避免緩沖區(qū)溢出

（2）使用替代的安全函數(shù)或函數(shù)庫(kù)

（3）基于探測(cè)方法方法，使用更新、更具安全性的編譯環(huán)境，打開一些具有安全防御機(jī)制的選項(xiàng)

Immunix提供的StackGuard

OpenBSD提供的ProPolice

Microsoft提供的/GS選項(xiàng)

（4）非執(zhí)行的堆棧防御

為OpenWall使用的non-exec補(bǔ)丁

Redhat/Fedora所使用的exec shield

3.程序內(nèi)部安全

（1）程序內(nèi)部接口安全

（2）異常安全處理

（3）最小化反饋

（4）避免競(jìng)爭(zhēng)條件

（5）安全使用臨時(shí)文件

4.安全調(diào)用組件

為避免調(diào)用組件帶來安全問題，建議在組件安全、返回值安全以及傳遞數(shù)據(jù)安全等幾個(gè)方面加強(qiáng)安全防護(hù)

（1）組件安全

（2）返回值安全

（3）傳遞數(shù)據(jù)安全

5.禁止使用不安全函數(shù)