OWASP安全编码规范快速参考指南

本项与技术无关的文档以清单列表的形式，定义了一套可以集成到软件开发生命周期中的通用软件安全编码规范。采用这些规范将减少最为常见的软件漏洞。一般来说，开发安全的软件要比在软件包完成以后再纠正安全问题的成本低很多，且还没涉及到因为安全问题而造成的损失。 保护关键软件资源的安全性，比以往任何时候都更为重要，因为攻击者的重点已逐步转向了应用层。2009年SANS的一项研究1表明，针对Web应用程序的攻击已占据了在互联网上观察到攻击总数的60％以上。在使用本指南时，开发团队应该从评估他们的安全软件开发生命周期成熟度和开发人员知识水平着手。由于本指南不涉及如何实现每个编码规范的具体细节，因此，开发人员需要了解相关知识，或者有足够可用资源来提供必要的指导。通过本指南，开发人员可在无需深入了解安全漏洞和攻击的情况下，将编码规范转换成编码要求。当然，开发团队的其他成员应该有责任，通过提供适当的培训、工具和资源，以验证整个系统的设计和开发是安全的。