应用程序安全性原则是理想的应用程序属性,行为,设计和实现实践的集合,旨在降低威胁实现的可能性,并在威胁实现时产生影响。安全原则是与语言无关的,体系结构中立的原语,可以在大多数软件开发方法中用于设计和构建应用程序。
原则很重要,因为它们可以帮助我们在新的情况下使用相同的基本思想做出安全决策。通过考虑这些原则中的每一个,我们可以得出安全要求,制定架构和实施决策,并识别系统中可能存在的缺陷。
需要记住的重要一点是,为了有用,必须对原则进行评估,解释和应用以解决特定问题。虽然原则可以作为一般指导原则,但只是告诉软件开发人员他们的软件必须“安全地失败”或者他们应该做“深度防御”并不意味着那么多。
考虑设计一个简单的Web应用程序,允许用户向朋友发送电子邮件。通过评估和解释每个原则,我们可以对此应用程序产生许多威胁,并最终得出一组保护要求。我们希望最终提供安全提供此服务所需内容的完整列表。
References
原文:http://pub.intelligentx.net/application-security-principle-0
深入讨论:请加入知识星球【首席架构师圈】