Создание безопасных приложений с использованием средств разработки Microsoft

Содержание

Слайд 2

Типичные методы обеспечения безопасности

Моделирование угроз
Статические анализаторы кода
Автоматическое тестирование кода
Code review
Ежедневная сборка с

Типичные методы обеспечения безопасности Моделирование угроз Статические анализаторы кода Автоматическое тестирование кода
проверкой всех тестов
Минимизация «поверхности атаки»

Слайд 3

Статические анализаторы кода

Находят дополнительные ошибки во время компиляции
Приведения типов
Быстродействия
Безопасности
Операций с памятью
Утилиты:
PREfast, Viva64

Статические анализаторы кода Находят дополнительные ошибки во время компиляции Приведения типов Быстродействия

Ключи студии Visual Studio 2005 Team Edition for Software Developers
/analyze
/GS
/Wp64

Слайд 4

Моделирование угроз

Диаграммы потоков данных (data flow diagram, DFD).
Списки всех сценариев использования

Моделирование угроз Диаграммы потоков данных (data flow diagram, DFD). Списки всех сценариев
приложения, списки уровней привилегий пользователей, списки защищаемых ценностей (assets)
Возможные сценарии взлома
классификация по STRIDE
оценка по шкале опасности DREAD
Утилиты доступные с сайта www.microsoft.com:
Microsoft Threat Analysis & Modeling tool
Threat Modeling Tool

Слайд 5

Stride: Категоризация Угроз

Систематический обзор архитектуры с точки зрения атакующего
Определение ресурсов, угроз, уязвимостей,

Stride: Категоризация Угроз Систематический обзор архитектуры с точки зрения атакующего Определение ресурсов,
механизмов защиты и рисков
Имеет большое значение для тестирования безопасности

Слайд 6

Dread: оценка риска уязвимости

Damage potential: Какова величина ущерба при использовании уязвимости?
Reproducibility:

Dread: оценка риска уязвимости Damage potential: Какова величина ущерба при использовании уязвимости?
Насколько легко повторить атаку?
Exploitability: Насколько легко запустить атаку?
Affected users: Какой ориентировочный процент пользователей затрагивается?
Discoverability: Насколько легко найти эту уязвимость?

Слайд 7

Расширенное тестирование

Visual Studio 2005 Team Edition for Testers
Visual Studio 2005 Team Edition

Расширенное тестирование Visual Studio 2005 Team Edition for Testers Visual Studio 2005
for Database Professionals
Виды тестов
Модульные (Unit) тесты
Web тесты
Нагрузочные (Load) тесты
Ручные (Manual) тесты
Внешние (Generic) тесты
Упорядоченные (Ordered) тесты

Слайд 8

Новые средства безопасности в Visual Studio 2005

Улучшенная защита от переполнения буфера (/GS)
Статический

Новые средства безопасности в Visual Studio 2005 Улучшенная защита от переполнения буфера
анализ исходного кода (/analyze)
Динамический анализ (AppVerifier)
Безопасные стандартные библиотеки (SafeCRT)
Встроенный FxCop
Отладка в зонах (Debug in Zones)
Улучшенная работы с исключениями
PermCalc – анализ требований безопасности

Слайд 9

Встроенный FxCop

FxCop - часть Visual Studio
Статический анализ управляемого кода
Можно выбрать желаемые проверки

Встроенный FxCop FxCop - часть Visual Studio Статический анализ управляемого кода Можно
в свойствах проекта
Находит проблемы
Безопасности
Быстродействия
Надежности

Слайд 10

Категории возможных проблем с кодом

Input validation
Authentication
Authorization
Configuration management
Sensitive data
Session management
Cryptography
Parameter manipulation

Категории возможных проблем с кодом Input validation Authentication Authorization Configuration management Sensitive

Exception management
Auditing and logging

Слайд 11

Input Validation: Безопасные строковые функции

Содержатся в
Visual Studio 2005
Windows SDK начиная с

Input Validation: Безопасные строковые функции Содержатся в Visual Studio 2005 Windows SDK
Microsoft Windows XP SP1
Windows Driver Kit (WDK)
Driver Development Kit (DDK)

Слайд 13

Code access security .NET Framework

Права доступа код к системе с фильтрацией:
Simple assembly

Code access security .NET Framework Права доступа код к системе с фильтрацией:
name
Code location (URL)
Zone of origin
Strong assembly name
Cryptographic hash
Authenticode signature
Декларативный запроса приложения прав для своей сборки
assembly: FileIOPermission(SecurityAction.RequestMinimum, Unrestricted=true)]

Слайд 15

Аутентификация в .NET

Типы аутентификации в .NET Framework:
Windows
Generic
Custom

Аутентификация в .NET Типы аутентификации в .NET Framework: Windows Generic Custom

Слайд 16

Cryptography: криптографические функции

SQL Server 2005 - первая версия SQL сервера, в которой появилась

Cryptography: криптографические функции SQL Server 2005 - первая версия SQL сервера, в
серьезная поддержка криптографии.
.NET Framework использует цифровую подпись для сборок и специальные классы, реализующие симметричное и асимметричное шифрование в пространстве имен System.Security.Cryptography

Слайд 17

Достижения

Согласно внутренним исследованиям корпорации Microsoft, компьютеры с ОС Windows XP с пакетом обновления 2 (SP2) в 13—15 раз

Достижения Согласно внутренним исследованиям корпорации Microsoft, компьютеры с ОС Windows XP с
менее подвержены заражению вредоносным ПО, чем компьютеры под управлением предыдущих версий Windows XP.
В Windows Server 2003 было обнаружено на 50 процентов меньше уязвимостей, чем в предыдущей версии, Windows Server 2000.
С момента выпуска в 2003 г. последней версии веб-сервера корпорации Microsoft, Internet Information Services 6.0, в нем было обнаружено только два уязвимых места.
В SQL Server 2005 не обнаружено ни одного дефекта с момента выпуска этого продукта в ноябре 2005 года.
(http://www.microsoft.com/rus/midsizebusiness/security/sdl.mspx)
Имя файла: Создание-безопасных-приложений-с-использованием-средств-разработки-Microsoft.pptx
Количество просмотров: 159
Количество скачиваний: 0
- Предыдущая
Файлы и папки 6 класс
Следующая -
Текстовые редакторы. Программное обеспечение

Похожие презентации

o Центр корпоративного обучения « Оксфорд Класс » создан в 2007 г. в партнерстве с языковой школой Оксфорд Класс, г. Киев,Украина, год о
Презентация на тему Чай спорный товар при пересечении таможенной границы
Title
Информационная система www.sarbc.ru Региональный сайт с ежедневной посещаемостью более 40 тыс. человек Аудитория сайта представители ма
Автоматизированная информационная система АПК региона
Папа,мама, я, спортивная семья
You are what you eat
Коммуникация. Чему служит коммуникация
Истинные образы. Ложные образы
Таганка 36 Комитет по выручке
Решение заданий ЕГЭ (типа В7)Тригонометрические выражения
Исследовательская деятельность учащихся(итоговая работа слушателя курсов повышения квалификации по теме «Преподавание иностра
Особенности младшего школьного возраста
Этнокультурные особенности Германии
. Ответственность сторон в договоре подряда Выполнила Лихачева А.А. Группа МЭ081
структура урока
Мульти-пульти
Три состояния вещества. Различие в молекулярном строении твердых тел, жидкостей и газов
ПАРК
Пособия ФСС по-новому
Ломоносов в кинематографии и живописи
Словосочетание (5 класс)
Права человека. Программа курса
Неличные формы глагола
Орфограммы в приставках и корнях слов
Подготовка к ЕГЭ:Механическая работа. Мощность
Фотоальбом. Комсомольск- на- Амуре
Литературные премии
LiveInternet
Обратная связь
Для правообладателей
Email: Нажмите что бы посмотреть