Other Resources
Security Developer Center
Cryptography Topics on MSDN

Follow us on Twitter

Esse artigo foi originalmente escrito em: http://social.technet.microsoft.com/wiki/contents/articles/243.security-developer-resources-en-us.aspx 




Fóruns MSDN

As Comunidades Técnicas da Microsoft oferecem oportunidades de interação com funcionários da Microsoft, especialistas e seus pares para compartilhar conhecimentos e novidades sobre soluções Microsoft e tecnologias relacionadas.  Faça perguntas e terá respostas nos fóruns técicos da Microsoft, com foco profissional de desenvolvedores dos produtos e tecnologias Microsoft.

Segurança para Windows Azure
Segurança para SQL Server
Segurança de Aplicações para Windows Desktop
Fórum Microsoft Security Development Lifecycle (SDL)

Blogs

Os blogs listados abaixo são escritos por funcionários da Microsoft que são focados nas API's de segurança e tecnologias Microsoft. Eles são um bom recurso para obter informações
 sobre assuntos que não são abordados nas documentações das Api's

The Security Development Lifecycle Blog

 

Artigos da Revista MSDN

Maio de 2009
A Conversation About Threat Modeling
Acompanhe uma conversa entre um desenvolvedor e um analista de segurança que investiga alguns dos principais requisitos do Security Development Lifecycle (SDL) impostos pela equipe de produtos aqui na Microsoft
 
Novembro de 2008
Threat Models Improve Your Security Process
Esta coluna propõe uma maneira de pensar sobre o design seguro de uma perspectiva mais holística, utilizando modelos para conduzir os processos de engenharia de segurança, principalmente ajudando você a priorizar a revisão de código, teste difuso de ameaça e tarefas de análise de superfície de ataque.
 
Maio de 2008
Penetration Testing
Nesta edição de informativos sobre segurança, James Whittaker explica as regras e as armadilhas dos testes de penetração para que você saiba como evitá-los.
 
Julho de 2007
Applying Cryptography Using The CNG API In Windows Vista
Cryptography Next Generation (CNG) pretende ser um substituto a longo prazo para o CryptoAPI, fornecendo substituições para todos os primitivos criptográficos oferecido por ele. 
 
Novembro de 2005
A Look Inside the Security Development LifeCycle at Microsoft
Michael Howard descreve como aplicar o SDL para seus próprios processos de desenvolvimento de software.
 
Novembro de 2004
Mitigate Security Risks by Minimizing the Code You Expose to Untrusted Users
Neste artigo, o especialista em segurança Microsoft Michael Howard discute as regras cardeais para a redução da superfície de ataque. Suas regras - reduzir a quantidade de código em execução por padrão, reduzir o volume de código que é acessível para usuários não confiáveis por padrão e limite os danos se o código for explorado - são explicadas juntamente com as técnicas para aplicá-las ao seu código.
 
Novembro de 2003
Protect It: Safeguard Database Connection Strings and Other Sensitive Settings in Your Code
Protegendo segredos dos aplicativos,como strings de conexão de banco de dados e senhas, requer uma análise cuidadosa de uma série de fatores pertinentes, como a sensibilidade dos dados, quem pode acessá-los, como equilibrar segurança, desempenho e facilidade de manutenção e assim por diante. Este artigo explica os fundamentos de proteção de dados e compara uma variedade de técnicas que podem ser usadas para proteger as configurações do aplicativo. O autor discute o que evitar, como ocultar chaves no código-fonte e o uso da Autoridade de Segurança Local. Além disso, ele apresenta algumas soluções eficazes, como a Data Protection API.
 
Review It: Expert Tips for Finding Security Defects in Your Code
Revisando código para identificar falhas de segurança é um ingrediente chave no processo de criação de software ao lado de planejamento, projeto e teste de classificação. Aqui o autor reflete sobre seus anos de revisões de segurança de código para identificar padrões e práticas recomendadas que todos os desenvolvedores podem seguir ao rastrear possíveis brechas de segurança.  O processo começa examinando o ambiente onde o código é executado, considerando as funções dos usuários que irão executá-lo e estudando a história dos problemas de segurança, que o código pode ter tido. Depois de ganhar uma compreensão destas questões básicas, vulnerabilidades específicas podem ser identificadas, incluindo ataques de SQL Injection, cross-site scripting e saturações de buffer. Além disso, certas bandeiras vermelhas, tais como nomes de variáveis como "senha", "secret" e outras tolices de segurança óbvias, mas comum, podem ser pesquisadas e corrigidas.
 
Agosto de 2003
Security Briefs: Hashing Passwords, The AllowPartiallyTrustedCallers Attribute
Keith Brown descreve como você pode executar hash de senhas quando se deseja armazená-las no banco de dados personalizado,  e quando usar o atributo AllowPartiallyTrustedCallers em seu código.
 
Maio de 2003
Virus Hunting: Understand Common Virus Attacks Before They Strike to Better Protect Your Apps
Máquinas de desenvolvedores podem muitas vezes ser mais vulneráveis a vírus do que o usuário corporativo comuns por causa do seu acesso mais freqüente para máquinas remotas e compartilhamentos, e os privilégios administrativos mantidos entre múltiplas máquinas. Confiança no software antivírus é bom como uma primeira linha de defesa, mas você precisa de um arsenal básico de habilidades para proteger os arquivos executáveis em seu sistema e lidando com vírus em seu próprio ambiente. Este artigo revisa métodos proativos que podem ser utilizados para se defender contra código malicioso executável na sua máquina, bibliotecas de componentes, scripts e macros, bem como como evitar um punhado de outras vulnerabilidades potenciais.
 
Abril de 2003
Security Briefs: Exploring S4U Kerberos Extensions in Windows Server 2003
Criação de sites que fornecem serviços para usuários que estão fora de sua rede corporativa é complicado. Normalmente não é desejável deixar aos clientes externos contas de domínio corporativo e do ponto de vista puramente prático Kerberos não funciona bem na Internet devido à configuração típica de firewalls do lado do cliente.
 
Março de 2003
Talking To... Michael Howard Discusses the Secure Windows Initiative
O crescimento de computadores interconectados nos últimos anos tem empurrado as preocupações de segurança para a vanguarda do  desenvolvimento e design de aplicação. O esforço da Microsoft, apelidado o Secure Windows Initiative (SWI), centra-se sobre como proteger o código novo e legado.
 
Abril de 2001
Secure Sockets Layer: Protect Your E-Commerce Web Site with SSL and Digital Certificates
A segurança é um dos fatores mais importantes no crescimento futuro dos negócios eletrônicos. Certificando-se de que comunicações permaneçam seguras entre clientes e o servidor Web é um problema crítico. Secure Sockets Layer (SSL) é o padrão que sites seguros são desenvolvidos hoje.  Este artigo apresenta uma visão geral de segurança na Web baseado em SSL, explicando conceitos fundamentais como a configuração adequada do Microsoft Internet Information Services (IIS) e sua distribuição, criptografia e certificados digitais. Adquirir um certificado, instalá-lo e configurar o IIS para SSL são descritos em um processo passo a passo.
 
The Security Support Provider Interface Revisited
As chaves de sessão podem ser usadas para criptografar mensagens ou simplesmente apor um código de autenticação de mensagem (MAC) para permitir a detecção de adulteração e autenticação de mensagens de texto não criptografado. Este artigo mostrar as APIs de SSPI que você precisará chamar, como usar o utilitário de bancada SSPI para enviar mensagens criptografadas ou assinadas e como SSPI pode ser usado para validar senhas. Ele descreve algumas experiências que você pode tentar com o workbench que irá ajudá-lo a explorar como SPNEGO, Kerberos e NTLM são implementadas no Windows.
 
Agostonde 2000
Explore the Security Support Provider Interface Using the SSPI Workbench Utility
Este artigo descreve a Security Support Provider Interface (SSPI) e um utilitário de SSPI Workbench, para ajudá-lo a aprender sobre SSPI e explorar os vários protocolos de autenticação que oferece suporte a Microsoft Windows 2000.
 
Maio de 2000
Understanding Kerberos Credential Delegation in Windows 2000 Using the TktView Utillity
Este artigo descreve como o Windows 2000 implementa a delegação de credenciais usando o Kerberos.
 
Março de 2000
Exploring Handle Security in Windows
Este artigo describles como a segurança funciona com relação de comunicação entre processos, representação, relação de herança e a poderosa API DuplicateHandle.
 
Encrypt It: Keep Your Data Secure with the New Advanced Encryption Standard
O Advanced Encryption Standard (AES) é um padão para criptografia de dados eletrônicos da National Institute of Standards and Technology

Books

Writing Secure Code, Second Edition Por Michael Howard and David LeBlanc (Microsoft Press, Dezembro de 2002)
Writing Secure Code for Windows Vista Por Michael Howard and David LeBlanc (Microsoft Press, Abril de 2007)

Páginas Relacionadas


Artigos Técnicos



Leia Também

 



Outros Idiomas

Este artigo também está disponível nos seguintes idiomas: 

Inglês (en-US)

Italiano (it-IT)

Alemão (de-DE)