用于C+的企业安全API+; 我们目前正在为OWASP开发一个开源项目,创建一个企业安全控制的C++ API。p>
已经为JavaEE定义了企业安全API(ESAPI)。我们清楚地知道,对于C++语言的安全控制要求可能在一定程度上有所不同。 毫无疑问,一些最大的安全问题源于内存管理,目前我们还没有提供解决方案。到目前为止,我们关注的是来自ESAPI 2.0 for Java规范的几个项目。然而,对于其中一些安全部分,我们有一些特定的问题。主要是,java ESAPI对Web应用程序有很大的倾斜,我们知道C++不是标准。因此,我们正在寻找其他领域,共同安全控制可能有助于C++社区。了解通常面对C++开发人员的安全问题类型是有用的。p> 我们正试图确定黑客是如何攻击和破坏您的代码的,因此我们可以帮助提供适当的安全控制来防止它 为了收集对这个项目的反馈,我们创建了一个谷歌调查;但是,请随时在这里留下您的反馈。用于C+的企业安全API+; 我们目前正在为OWASP开发一个开源项目,创建一个企业安全控制的C++ API。p>,c++,security,enterprise,owasp,esapi,C++,Security,Enterprise,Owasp,Esapi,已经为JavaEE定义了企业安全API(ESAPI)。我们清楚地知道,对于C++语言的安全控制要求可能在一定程度上有所不同。 毫无疑问,一些最大的安全问题源于内存管理,目前我们还没有提供解决方案。到目前为止,我们关注的是来自ESAPI 2.0 for Java规范的几个项目。然而,对于其中一些安全部分,我们有一些特定的问题。主要是,java ESAPI对Web应用程序有很大的倾斜,我们知道C++不是标准。因此,我们正在寻找其他领域,共同安全控制可能有助于C++社区。了解通常面对C++开发人员的安
建议的安全控制(摘自ESAPI 2.0 for Java):
- 身份验证-用于生成和处理确认帐户凭据和会话标识符的方法
- 用户-表示应用程序用户或用户帐户
- 访问控制—可在各种应用程序中使用以强制执行访问控制的方法
- 验证-规范化和验证不可信输入的方法
- 编码-解码输入和编码输出,使其对各种口译员都是安全的
- 执行-用于运行操作系统命令,降低安全风险
- 加密-通用加密、加密随机数和字符串、散列操作和签名。密码功能将建立在C++的Wei Dai密码+库上。然而,我们的目的是提供足够简单的加密功能,供普通开发人员使用,除了一些基本术语外,不需要任何特定的加密知识
- 日志记录-设计用于记录安全事件的方法
谢谢你的关注。我们希望为C++创建一个ESAPI会使开发者更容易编写更安全的应用程序。
我真的认为不可能为母语编写安全策略。如果你这样做,你将用一种管理语言来转换C++。