让非专业的开发人员能够生成和部署安全应用程序的最佳实践
Rudolph Araujo
Foundstone Professional Services
适用于:
Visual Studio 2005 Express Editions
.NET Framework 2.0
摘要:本文旨在作为一个起点,帮助组织开始非专业的最终用户开发,同时保证安全的编码实践。
背景
Visual Studio 2005 旨在以一种轻松、有价值且高效的方式,增强开发人员创建 Web 应用程序、智能客户端、Web 服务以及移动应用程序的能力。与 .NET Framework 2.0 版本结合后,Microsoft 还试图通过提供大量默认的安全性,让开发人员能够更轻松地编写安全代码,并且使开发团队能够轻松地进行正确的选择。对当前 Visual Studio 开发人员工具系列中的一个关键补充是 Express Editions 的引入。
Visual Studio 2005 Express Editions 为技术爱好者、学生和开发新手生成丰富、动态的 Web 和 Windows 应用程序而设计。尽管这些版本缺乏 Visual Studio 更高版本包含的全部功能,但它们依旧是最好的开发工具集合 — 在设计上特别为非专业开发人员进行了考虑。Visual Studio Express 的使用者可以是那些有志于从事软件开发的人,还可以是对此感兴趣(例如在 Coding4Fun 开发人员中心中做过项目)的人。但是,Express 版本还可用于创建很棒的应用程序,让用户能够更高效地工作。包括创建一个部门的 Web 站点,或者是编写一些协助管理服务器场的实用工具服务。Express 版本为非专业开发人员创建吸引眼球的应用程序带来了无限的可能性,并提供了丰富的机会。
上述目标用户的焦点在于,Express 版本包括了适于 C++、C#、Visual Basic 和 J# 语言的产品,供 Web 开发人员使用的产品,以及 Microsoft SQL Server 2005 Express Edition 中的轻量级关系数据库系统。每个 Express 产品均包含目标文档,帮助初级编程人员快速了解生成较高级应用程序所需的概念。用户界面进行了显著改进,以确保学习过程不受无关功能的影响。原则上, Express 产品将对新手们进行仔细地引导,使其能够在编程领域获得成功和自信心,同时还能够让他们醉心于此并高效地工作。
当开发新手始终不能进入状态时,就可能会给组织带来一些问题。让个人能够利用 IT 资产始终不受欢迎。当组织内的应用程序需要“由新手们生成”时,他们有时会给应用程序带来一些不好的安全性问题,这些问题可能造成对企业数据或任务关键资源的威胁。例如,开发新手不可能完全理解关键的安全编程原则(如,访问控制和结构化异常处理的需要)。因此,他们可能在无意中泄漏了关键的组织数据,例如,将机密或私有数据、关键的系统功能泄漏给未授权的用户。他们可能还会为攻击者攻击其他更重要、核心的应用程序制造了隐患,例如,暴露数据库架构或其他配置信息。为了解决这些合理的假设,本文旨在作为一个起点,帮助组织具备最终用户开发的能力,同时确保安全的编码实践。本文不仅强调了 Express 版本中已可用的机制(这些准确设计的机制有助于上述某些危险情况免于发生),而且还针对组织的管理员如何加强策略(有助于避免暴漏关键的应用程序漏洞),提供了准确、恰当、及时的指导。
