机房360首页
  1. 武松娱乐
  2. 云计算
  3. IDC
  4. UPS
  5. 机房制冷
  6. 集中监控
  7. 发电机
  8. 防雷与接地
  9. 综合布线
  10. 服务器
  11. 存储
  12. 虚拟化
  13. 安全
  14. CIO
  15. 外包
  16. 绿色IT
  17. 文库
  18. 新闻
  19. 论坛
  20. 产品报价
  21. 更多
    1. 机房工程
    2. 机房节能
    3. 武松娱乐
    4. 企业名录
    5. 工具下载
当前位置:首页 » 应用安全 » 安全编码最佳实践:PHP及编程语言安全

安全编码最佳实践:PHP及编程语言安全

来源:TechTarget中国 作者:Lily编辑 更新时间:2011-9-14 10:08:03
摘要:WhiteHat Security(白帽安全)公司最近发布了研究,他们使用自动化的工具查看1700个web站点,看看安全bug的数量和建立站点使用的编程语言之间是否有任何关联。总体的结论是,没有一种语言是“最安全的”。研究表明,某些语言确实有益于结构化地编写,易于管理代码,且某些框架提供默认开启的安全控制。PHP可能名声更坏,因为它不仅被广泛地使用,而且垃圾邮件发送者们利用了许多不安全的PHP形式来发送垃圾邮件(通过邮件注入)。
  甚至最忠实的PHP迷也会同意,对于一个未经培训的程序员来说,用像PHP一样的语言更容易写出不安全的代码。因特网上有数以千计的例子和教程来解释如何使用PHP将一个花哨的功能添加到开发的应用中,但是它们中的大多数没有涵盖如何确保这些功能安全,不让应用容易受到攻击,因此功能丰富的PHP应用通常没有以安全的思维进行开发。

  培训你的开发人员,让他们带着安全的思维来写代码,这比起语言的选择来说更为重要。CERT(Computer Emergency Response Team,计算机应急响应团队)发现,大多数应用中的漏洞来自开发人员不断重复犯的、一些数量相对少的常见编程错误。通过消除不安全的编码,并专注于安全编码培训,你的软件开发人员可以迅速地减少或消除漏洞的数量,直到软件最终上线。你可以用因特网上的许多优秀且免费的资源和教程来发展他们(开发人员)在这个领域的技能。这个领域的领导者之一是OWASP站点(Open Web Application Security Project,开放Web应用安全项目),它提供了许多关于如何安全编码的例子。

  CERT安全编码的出发点是为常用的编程语言建立安全编码标准,并促进安全编码的最佳实践。另一个提高你的开发人员安全编码技能的好资源,是微软的MSDN安全社区和编写安全代码部分。那里有许多由微软软件安全专家Michael Howard撰写的各种书,你可能感兴趣的包括“编写安全的代码(Writing Secure Code)”、“软件安全的24个致命过错(24 Deadly Sins of Software Security)”和“安全开发生命周期(The Security Development Lifecycle)”。许多涉及的主题可以应用到任何一种编程语言,并会帮助你理解如何带着安全思维来编码:那就是,正确地使用安全功能并编写能够经受攻击的代码。

  如果你开始将从这些资源中学到的融合起来,并且将安全嵌入到整个应用生命周期,无论你选择使用哪种语言,但愿你的下个应用会更加强健并且能够经受攻击。

  责任编辑:Lily
本文地址:http://www.jifang360.com/news/2011914/n824828813.html 网友评论: 阅读次数:
版权声明:凡本站原创文章,未经授权,禁止转载,否则追究法律责任。
相关评论
正在加载评论列表...
评论表单加载中...
  1. 我要分享
更多
推荐图片
    云计算安全问题究竟是什么问题云计算安全问题究竟是什么问题
    《哈佛商业评论》前执行主编Nick[详细]
    美联储为迎大数据挑战或聘首席美联储为迎大数据挑战或聘首席
    美国联邦储备局理事会在新的战略[详细]
    Netlix设10万美元奖 鼓励开发Netlix设10万美元奖 鼓励开发
    Netflix最近开设了一项金额为10[详细]
武松老虎机