導讀:本文來自StackOverflow上的一個問答貼。網友 M.H 提問: 我是一名IT專業學生,現在是大三,直到現在我們才開始學習很多計算機相關的課程(編程、演算法、計算機體系結構、數學等……)。
但是還有一個叫“安全”的世界離我們很遠,我是指:計算機安全、互聯網安全、網路安全、Hacking、破解等。
我很確信沒有人可以知曉所有安全知識,但我確信,肯定有一定的“最低限度”知識,是每個程序員或IT學生應當了解的。我的問題是,那些“最低限度”知識包括了哪些?希望您能給我建議一些電子書,或課程,或任何有助於我探索這條路的東西。
目前這個問題得分最高的回復是由 bignum 提供的,如下:
如果想要你的程序是安全的,請記住如下原則:
● 不要信任用戶的輸入信息!
● 驗證所有來自非信任源的輸入信息,是使用白名單,不是黑名單。
● 從一開始就要策劃安全。安全並不是可以在最後來做的。
● 保持簡單。複雜性會增加安全漏洞的可能性。
● 最低限度保持你程序的攻擊面(attack surface)。
● 確保程序有“自動防故障裝置”(Fail-safe)
● 採用深度防禦(defence in depth)
● 堅持最小特權原則(least privilege)
● 採用威脅建模(threat modelling)(Web程序更應如此)
● 許可權分離(Compartmentalize)
● 沒有不透風的牆,在代碼中隱藏秘密都無法長久。
● Don’t write your own crypto / 不要自己編寫一種加密方法 (譯註:見下文另外一位網友的回復)
● 採用加密(crypto),並不意味著你就安全了(攻擊者會尋找弱點)
● 注意緩衝區溢出,並了解如何防範
下面是一些優秀書籍和在線文章:
●《 Writng Secure Code | 編寫安全的代碼 (第二版)》- 我認為每個程序員都該讀讀這本書 (譯註:第二版還沒有中文,據說在翻譯中……)
● Building Secure Software: How to Avoid Security Problems the Right Way | 構建安全的軟體:避免產生軟體安全問題的正確方法
● Secure Programming Cookbook for C and C++: Recipes for Cryptography, Authentication, Input Validation & More
● Exploiting Software (譯註:在線電子書)
● Security Engineering (an excellent read,在線電子書)
● Secure Programming for Linux and Unix HOWTO (譯註:在線電子書)
Tyler McHenry 也給出了他認為程序員做安全的第一原則:Don’t roll your own。除非你是安全專家或密碼破譯專家,否則就採用現有的成熟安全平台、框架、或庫。這些東西都經過了專家和黑客們深思熟慮、修補、更新和檢測。你得利用這些優勢,而不是忽視,試圖推到重來。
英文原文:StackOverflow 編譯:伯樂在線 – 黃利民
[火星人 ] 程序員都應該了解哪些安全知識已經有403次圍觀