当你创建任何企业或任何自己的软件时，你应该像黑客一样思考。正如我们所知，黑客也不是所有事情的专家，但当他们发现任何漏洞时，他们开始通过收集所有事情的信息来挖掘它，最终攻击我们的软件。所以为了防止这种攻击，我们应该遵循一些众所周知的规则，比如:

总是尝试破译你的密码(使用小抄和谷歌之类的东西来获取更多信息)。 更新编程域中的安全漏洞。 如上所述，永远不要相信任何类型的用户或自动输入。 使用开源应用程序(它们的大多数安全缺陷已经被知道并解决了)。

你可在以下连结找到更多保安资源:

owasp安全 CERT安全 无安全 netcraft 太空安全 openwall PHP交会 Thehackernews(不断更新自己)

有关应用程序供应商安全流程的更多信息谷歌。

每个程序员都应该知道如何编写利用代码。

如果不知道系统是如何被利用的，你就会意外地阻止漏洞。除非你知道如何测试你的补丁，否则知道如何打补丁是毫无意义的。安全不仅仅是一堆思想实验，你必须科学地测试你的实验。

为什么是重要的。 这都是关于权衡。 密码学在很大程度上分散了人们对安全性的注意力。

如果你想要你的应用程序是安全的，请记住以下原则:

Never trust any input! Validate input from all untrusted sources - use whitelists not blacklists Plan for security from the start - it's not something you can bolt on at the end Keep it simple - complexity increases the likelihood of security holes Keep your attack surface to a minimum Make sure you fail securely Use defence in depth Adhere to the principle of least privilege Use threat modelling Compartmentalize - so your system is not all or nothing Hiding secrets is hard - and secrets hidden in code won't stay secret for long Don't write your own crypto Using crypto doesn't mean you're secure (attackers will look for a weaker link) Be aware of buffer overflows and how to protect against them

网上有一些关于提高应用程序安全性的优秀书籍和文章:

编写安全代码第二版——我认为每个程序员都应该读这篇文章 构建安全软件:如何以正确的方式避免安全问题 安全编程指南 利用软件 安全工程——一本极好的读物 Linux和Unix安全编程HOWTO

对开发人员进行应用程序安全最佳实践方面的培训

Codebashing(支付)

安全创新(支付)

安全罗盘(付费)

OWASP WebGoat(免费)

一个好的入门课程可能是麻省理工学院的计算机网络与安全课程。我建议的一件事是不要忘记隐私。从某种意义上说，隐私确实是安全的基础，在有关安全的技术课程中并不经常涉及。你可能会在这门与互联网相关的道德与法律课程中找到一些关于隐私的材料。

当你创建任何企业或任何自己的软件时，你应该像黑客一样思考。正如我们所知，黑客也不是所有事情的专家，但当他们发现任何漏洞时，他们开始通过收集所有事情的信息来挖掘它，最终攻击我们的软件。所以为了防止这种攻击，我们应该遵循一些众所周知的规则，比如:

总是尝试破译你的密码(使用小抄和谷歌之类的东西来获取更多信息)。 更新编程域中的安全漏洞。 如上所述，永远不要相信任何类型的用户或自动输入。 使用开源应用程序(它们的大多数安全缺陷已经被知道并解决了)。

你可在以下连结找到更多保安资源:

owasp安全 CERT安全 无安全 netcraft 太空安全 openwall PHP交会 Thehackernews(不断更新自己)

有关应用程序供应商安全流程的更多信息谷歌。