编写应用程序要注重其安全性

改变您的理念

在学习如何编写安全的软件时遇到的最大挑战是改变您对软件开发的观点。以下几点应该会有所帮助：

•偏执狂是一种优点。在自己进行调查研究之前不要相信任何事情。不要想当然地以为您的输入遵守您所依赖的规则；去检验它。不要忽略来自库的错误报告；通常，在遇到意想不到的错误时，您需要终止正在进行的处理。不要以为您的程序没有错误；限制您的程序能够完成的事情，这样错误成为安全性缺陷的可能性就会比较少。

•一般的测试通常无法发现安全性缺陷。大多数测试方法都假定用户设法使用程序来帮助他们完成一些工作。因此，测试假定用户将以某种“随机”或“有用”的方式工作，检查程序在“一般”情况下或者在某些最大值下如何工作。与此相反，安全性缺陷通常只出现在使用极其古怪的值的情况时，传统的测试完全不会检查这样的值。有些开发人员会编写非常糟糕的代码，然后希望通过测试它来进行纠正。这种方法根本不会产生安全的代码，因为您无法创建足够多的测试来涵盖攻击者能做到的所有稀奇古怪的事情。

•小玩意（象防火墙）和技术（象加密）是不够的。

•从过去的失败确定和了解漏洞。事实证明几乎所有软件的安全性漏洞都是由相对较小的一组常见错误引起的。如果您了解了那些是什么错误 － 以及如何避免这样的错误 － 您的软件就会安全得多。事实上，本专栏将集中讨论如何避免以前出现的常见错误，这样您就不会犯同样的错误。

FLOSS 会使我们安全吗？

自由／开放源码软件程序是带有某种许可证的程序，这样的许可证允许用户以任何目的自由地运行程序，自由地研究和修改程序以及自由地重新分发原始程序副本或修改过的程序副本（而不必向以前的开发人员支付版税）。FLOSS 的同义词包括开放源码软件（OSS），大写时是“自由软件（Free Software）”（FS）以及 OSS/FS。“自由软件”和“开放源码软件”可在本文中互换使用，但是推荐使用“FLOSS”，因为它包含了这两个术语。典型的 FLOSS 程序都是由开发人员社区开发的，他们一起工作并评审彼此的工作。Linux 内核是 FLOSS，Apache Web 服务器和许多其它程序也是 FLOSS；FLOSS 正逐渐在许多市场特殊领域流行起来。

人们可以评审 FLOSS 程序的源代码，这样会如何

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!