問：我正在學(xué)習(xí)如何獨立編程。在過去的9個月里，我自學(xué)了Microsoft Access 2007 VBA，并為我所在的公司開發(fā)了一些功能強(qiáng)大的數(shù)據(jù)庫應(yīng)用程序?，F(xiàn)在，我正準(zhǔn)備轉(zhuǎn)向Microsoft Visual Studio開發(fā)環(huán)境，并對其中的C#和VB.NET深感興趣。我想請教一下關(guān)于盒裝軟件中通常包含多個文件的問題。我知道許多DLL文件以及其他文件需要保留配置信息，但這些文件是如何創(chuàng)建的？這些文件是編程環(huán)境自動創(chuàng)建的，還是在設(shè)計和編程過程中開發(fā)人員手動創(chuàng)建的？使用第三方代碼創(chuàng)建應(yīng)用程序是否存在安全隱患？

答：在開發(fā)應(yīng)用程序時，有兩種代碼需要確保是安全的：你自己編寫的代碼和來自第三方的代碼。安全的含義是指代碼中不包含可被用于破壞其處理的應(yīng)用程序或數(shù)據(jù)的漏洞。從你提出的問題來看，你在學(xué)習(xí)如何開發(fā)應(yīng)用程序方面已經(jīng)取得了很大的進(jìn)步。而我要強(qiáng)調(diào)的是，你是否在安全地編寫代碼，即正確地使用安全性功能編寫能夠抵御攻擊的代碼。盡管互聯(lián)網(wǎng)上解釋如何為一個應(yīng)用程序添加花里胡哨的功能的示例和教程汗牛充棟，但介紹如何確保這些花里胡哨的功能不使應(yīng)用程序容易受到攻擊的內(nèi)容卻鳳毛麟角。

我強(qiáng)烈建議你花時間訪問OWASP（Open Web Application Security Project，開放式Web應(yīng)用程序安全項目）的網(wǎng)站。雖然OWASP主要關(guān)注基于Web的應(yīng)用程序的安全性，但是其網(wǎng)站還包含了許多與任何類型的應(yīng)用程序有關(guān)的安全性內(nèi)容。OWASP還提供了一個OWASP.NET項目，致力于為使用Microsoft .NET Framework的軟件開發(fā)專業(yè)人員提供一個相關(guān)信息和工具的中央資料庫。另一個值得閱讀的內(nèi)容是微軟的《安全編碼指南》。

盡管編程涵蓋眾多主題，乍一看卷帙浩繁，但你只需要關(guān)注其中所涉及的安全性問題，這一點非常重要。微軟MSDN庫中的“安全性”頁面以及其中“編寫安全的代碼”部分，是介紹如何增強(qiáng)代碼安全性的一份優(yōu)秀資源。另外，你可能感興趣的還有微軟軟件安全專家Michael Howard編寫的多本著作，包括《編寫安全的代碼（Writing Secure Code）》、《軟件安全的24宗罪——編程缺陷與修復(fù)之道（24 Deadly Sins of Software Security）》和《軟件安全開發(fā)生命周期（The Security Development Lifecycle）》。如果你從這些資源開始你的學(xué)習(xí)之旅，那么你很快就可以編寫出健壯且能夠抵御攻擊的應(yīng)用程序。

當(dāng)然，軟件開發(fā)人員希望盡可能快地開發(fā)應(yīng)用程序。為了加快軟件開發(fā)的速度，大多數(shù)開發(fā)人員會使用其他人編寫的代碼，并使其適應(yīng)自己的目的。只要能夠理解并檢查使用的所有第三方代碼，而不是僅僅將其粘貼到自己的應(yīng)用程序中，這種做法當(dāng)然無可厚非。加快軟件開發(fā)速度的另一條捷徑是使用其他開發(fā)人員編寫的庫或模塊，例如拼寫檢查程序或圖表制作工具。這些庫或模塊通常是以DLL文件的形式提供，你需要將其隨著你的應(yīng)用程序一起發(fā)布。毫無疑問，使用這樣的第三方組件存在安全隱患。

那么，怎么知道一個第三方組件是否包含惡意代碼或已被攻擊者篡改呢？你當(dāng)然不該從不可信的來源下載組件用于自己的應(yīng)用程序。我不會使用任何不公開源代碼的組件，除非該組件是由著名供應(yīng)商提供的。如果一個應(yīng)用程序在建立時就已遭到破壞，那么它可以執(zhí)行的惡意行為將不受任何限制。正是因為如此，金融業(yè)中以前過度使用可重用組件或依賴第三方開發(fā)人員開發(fā)軟件的許多公司，現(xiàn)在開始全面檢查所有這些組件，以查找可能存在的后門或惡意代碼。

最后，關(guān)于你的應(yīng)用程序運行時需要訪問的眾多DLL文件，編譯器將會自動創(chuàng)建或添加。去年，一個病毒通過感染Delphi庫中的組件攻擊了Delphi的代碼編譯器。然后，在編譯過程中，病毒又感染了其他程序，將已編譯的代碼變成了一個病毒傳遞系統(tǒng)。這一安全事件表明，只使用正版授權(quán)的編譯器并確保開發(fā)環(huán)境的安全至關(guān)重要。用于開發(fā)你的應(yīng)用程序的計算機(jī)應(yīng)該是一次性使用的。同時，既要保護(hù)其物理安全，又要利用防病毒軟件和防惡意軟件的程序保護(hù)其邏輯安全。祝你取得更大的進(jìn)步。

【編輯推薦】

1. Flash應(yīng)用程序安全攻防戰(zhàn)
2. 移動威脅、SSL弱點和Web應(yīng)用程序漏洞