در مقاله زیر به تعدادی از مهمترین قواعد کلی امنیت در زمینه تولید نرم افزار اشاره می گردد. به طور کلی در تولید یک نرم افزار باید علاوه بر مواردی همچون کاربرد ، کارایی ، قابلیت نگهداری و تجربه کاربری توجه ویژه ای را در حوزه امنیت لحاظ کرد. در نظر داشته باشید تاکید و برنامه ریزی شفاف در مورد امنیت نرم افزار می تواند هزینه ها و زمان پیاده سازی پروژه را بشدت تحت تاثیر قرار دهد .
اصل اول : Defense in Depth – هیچگاه به یک لایه امنیتی در نرم افزار خود اطمینان نکنید . در واقع برنامه شما باید آخرین لایه و واسط بین یک حمله کننده (هکر) و سیستم های پشتیبان مانند دیتابیس باشد. از این رو صرفا به یک لایه امنیتی در نرم افزار خود اکتفا نکنید و از انواع راه های ممکن برای تامین امنیت استفاده نمایید.
اصل دوم : Never Trust Input – هیچگاه به ورودی های ارائه شده توسط کاربر اطمینان نکنید . هر قسمت جداگانه از ورودی باید Validate (معتبر سازی) و تصحیح (Correct) شود و سپس مقادیر ورودی پردازش شوند . پردازش مقادیر ورودی بدون معتبر سازی آنها می توانند خطرات جبران ناپذیری بویژه در برنامه های تحت وب را در برداشته باشد.
اصل سوم : Fall Gracefully – ترکیبی از اصول توسعه نرم افزار ، تست رویداد های غیرمترقبه ، تست داده های غیر منتظره ، تصادفی و اشتباه در ترکیب با طراحی قدرتمند نرم افزار ، ساخت یک کد امن را تضمین می کند.
اصل چهارم : Watch for Attack – حتی اگر خطاها را در سیستم تان را به خوبی مدیریت کرده باشید ، بدون برخورداری از یک سیستم قدرتمند Logging نمی توانید از حملات صورت گرفته (موفق و ناموفق) بر ضد سیستمتان آگاه شوید. ارائه یک سیستم Logging می تواند شما را در تهیه نسخه بعدی نرم افزارتان و کشف خطاهای احتمالی یاری دهد.
اصل پنجم : Use Least Privilege – هیچگاه از اکانت Administrator در توسعه و برنامه نویسی سیستم هایتان استفاده نکنید. استفاده از اکانت Administrator در دسترسی به فایل ها و یا اتصال به بانک اطلاعاتی در برنامه ها می تواند بسیاری از مشکلات پیش روی یک برنامه نویس را حل و مرتفع نماید اما باید در نظر داشته باشید که با نفوذ به برنامه ، هکر توانایی دسترسی به تمامی قسمت ها و زیر ساخت های سیستم را خواهد داشت . از این رو چناچه در برخی از قسمت های برنامه نیاز به دسترسی خاصی به منابع سیستمی (فرضا پوشه ویندوز) بود می توانید از یک نام کاربری جداگانه و محدود صرفا برای دسترسی به این قسمت در برنامه خود استفاده نمایید .
به نقل از روزنوشت های آراد حقی
