软件开发的安全编码

    在软件开发安全编码中，对于程序员来说，一定要避免本地和非本地代码、被动代码和动态代码之间的安全冲突。
　　应用程序常常依赖于另一种程序去编写代码，或者在应用程序初期开发完成之后，使用另一种程序去处理。例如，有些非本地的JAVA应用程序可能会依赖本地的C代码去处理接口。这是一个潜在的漏洞，因为即使JAVA代码部分并不易于遭受攻击，攻击者也有可能会对本地代码执行缓冲区的溢出攻击。
　　再举另一个例子，AJax应用程序为了执行某项操作，有可能支持Web浏览器动态生成的JavaScript。因而，动态生成的代码是在程序完成之后，再开发动态生成的代码。此时，如果动态生成的代码做出了关于应用程序环境和状态的不同假设，这就会导致AJAX应用程序的非法验证失败。
　　在这两种情形中，应用程序将本地代码和动态代码当作是潜在的不可行的实体去处理，这一点是当中的关键。另外，开发人员对发送给不可信代码，来自不可信代码的数据进行验证是非常重要的一个环节。
编码期间和日后的检查：
　　安全代码检查的主要目的是发现程序中可能修复的手段。测试报告应当提供关于软件可能的漏洞点的足够详细信息，是软件开发能够更好的进行程序开发和修复，并区分其优先顺序。应用指南应当包含在检查代码时应当考虑的问题清单。这会确保被检查的代码符合确定的标准，而不会对检查进行一定的影响。