Bewährte Methoden für die Sicherheits-APIs

Um die Entwicklung sicherer Software zu unterstützen, empfehlen wir, beim Entwickeln von Anwendungen die folgenden bewährten Methoden zu befolgen. Weitere Informationen finden Sie im Security Developer Center.

Security Development Life Cycle

Der Security Development Life Cycle (SDL) ist ein Prozess, der eine Reihe von sicherheitsorientierten Aktivitäten und Liefergegenständen für jede Phase der Softwareentwicklung beinhaltet. Zu diesen Aktivitäten und Liefergegenständen gehören:

  • Entwickeln von Bedrohungsmodellen
  • Verwenden von Tools zum Code-Scanning
  • Durchführen von Codeüberprüfungen und Sicherheitstests

Weitere Informationen zu SDL finden Sie unter Microsoft Security Development Lifecycle.

Bedrohungsmodelle

Durch die Durchführung einer Bedrohungsmodellanalyse können Sie potenzielle Angriffspunkte in Ihrem Code ermitteln. Weitere Informationen zur Analyse von Bedrohungsmodellen finden Sie in: Howard, Michael und LeBlanc, David [2003], Writing Secure Code, 2d ed., ISBN 0-7356-1722-8, Microsoft Press, Redmond, Washington. (Diese Ressource ist möglicherweise nicht in allen Sprachen und Ländern verfügbar)

Service Packs und Sicherheitsupdates

Build- und Testumgebungen sollten die gleichen Service Packs und Sicherheitsupdates wie die Zielbenutzer verwenden. Wir empfehlen, die neuesten Service Packs und Sicherheitsupdates für jede Microsoft-Plattform oder -Anwendung zu installieren, die Teil Ihrer Build- und Testumgebung ist, und ihre Benutzer dazu aufzufordern, dies für die fertige Anwendungsumgebung ebenfalls zu tun. Weitere Informationen zu Service Packs und Sicherheitsupdates finden Sie unter Microsoft Windows Update und Microsoft Security.

Autorisierung

Sie sollten Anwendungen erstellen, die die geringsten Berechtigungen erfordern. Die Verwendung der geringsten möglichen Berechtigungen reduziert das Risiko, dass bösartiger Code Ihr Computersystem beeinträchtigt. Weitere Informationen zum Ausführen von Code in der geringsten Berechtigungsstufe finden Sie unter Ausführen mit speziellen Berechtigungen.

Weitere Informationen

Weitere Informationen zu bewährten Verfahren finden Sie in den folgenden Themen.

Thema Beschreibung
Ausführen mit speziellen Berechtigungen
Erläutert Sicherheitsauswirkungen von Berechtigungen.
Vermeiden von Pufferüberläufen
Enthält Informationen zum Vermeiden von Pufferüberläufen.
Control Flow Guard (CFG)
Beschreibt Anfälligkeiten für Speicherbeschädigungen.
Erstellen einer DACL
Zeigt, wie Sie eine Discretionary Access Control List (DACL) mithilfe der Security Descriptor Definition Language (SDDL) erstellen.
Umgang mit Kennwörtern
Erläutert die Sicherheitsauswirkungen der Verwendung von Kennwörtern.
Dynamische Zugriffssteuerung: Erweiterbarkeit für Entwickler
Grundlegende Informationen zu einigen Erweiterungspunkten für Entwickler für die neuen Lösungen für die dynamische Zugriffssteuerung.