程序员都应该了解哪些安全知识

　　导读：本文来自StackOverflow上的一个问答贴。网友 M.H 提问： 我是一名IT专业学生，现在是大三，直到现在我们才开始学习很多计算机相关的课程(编程、算法、计算机体系结构、数学等……)。

　　但是还有一个叫“安全”的世界离我们很远，我是指：计算机安全、互联网安全、网络安全、Hacking、破解等。

　　我很确信没有人可以知晓所有安全知识，但我确信，肯定有一定的“最低限度”知识，是每个程序员或IT学生应当了解的。我的问题是，那些“最低限度”知识包括了哪些?希望您能给我建议一些电子书，或课程，或任何有助于我探索这条路的东西。

　　目前这个问题得分最高的回复是由 bignum 提供的，如下：

　　如果想要你的程序是安全的，请记住如下原则：

　　● 不要信任用户的输入信息!

　　● 验证所有来自非信任源的输入信息，是使用白名单，不是黑名单。

　　● 从一开始就要策划安全。安全并不是可以在最后来做的。

　　● 保持简单。复杂性会增加安全漏洞的可能性。

　　● 最低限度保持你程序的攻击面(attack surface)。

　　● 确保程序有“自动防故障装置”(Fail-safe)

　　● 采用深度防御(defence in depth)

　　● 坚持最小特权原则(least privilege)

　　● 采用威胁建模(threat modelling)(Web程序更应如此)

　　● 权限分离(Compartmentalize)

　　● 没有不透风的墙，在代码中隐藏秘密都无法长久。

　　● Don’t write your own crypto / 不要自己编写一种加密方法 (译注：见下文另外一位网友的回复)

　　● 采用加密(crypto)，并不意味着你就安全了(攻击者会寻找弱点)

　　● 注意缓冲区溢出，并了解如何防范

　　下面是一些优秀书籍和在线文章：

　　●《 Writng Secure Code | 编写安全的代码 (第二版)》- 我认为每个程序员都该读读这本书 (译注：第二版还没有中文，据说在翻译中……)

　　● Building Secure Software: How to Avoid Security Problems the Right Way | 构建安全的软件：避免产生软件安全问题的正确方法

　　● Secure Programming Cookbook for C and C++: Recipes for Cryptography, Authentication, Input Validation & More

　　● Exploiting Software (译注：在线电子书)

　　● Security Engineering (an excellent read，在线电子书)

　　● Secure Programming for Linux and Unix HOWTO (译注：在线电子书)

　　Tyler McHenry 也给出了他认为程序员做安全的第一原则：Don’t roll your own。除非你是安全专家或密码破译专家，否则就采用现有的成熟安全平台、框架、或库。这些东西都经过了专家和黑客们深思熟虑、修补、更新和检测。你得利用这些优势，而不是忽视，试图推到重来。

原文转自：http://www.ltesting.net