C2：利用安全框架和库

该控制措施的新版本已发布！

您正在查看 OWASP 十大主动控制措施的旧版（2018版）。您可以在 OWASP 十大主动控制措施 2024 中的 C6: 确保组件安全中找到有关此相同控制措施的信息！

描述

带有嵌入式安全功能的编码库和软件框架有助于软件开发人员防范与安全相关的设计和实现缺陷。从零开始编写应用程序的开发人员可能没有足够的知识、时间或预算来正确实现或维护安全功能。利用安全框架有助于更高效、更准确地实现安全目标。

将第三方库或框架集成到软件中时，请务必考虑以下最佳实践：

使用来自可信来源、积极维护且被许多应用程序广泛使用的库和框架。
创建并维护所有第三方库的清单目录。
主动保持库和组件的最新状态。使用像 OWASP Dependency Check 和 Retire.JS 这样的工具来识别项目依赖项，并检查所有第三方代码是否存在任何已知的、公开披露的漏洞。
通过封装库并将仅需的行为暴露到您的软件中来减少攻击面。

安全框架和库有助于防止各种Web应用程序漏洞。按照 [使用已知漏洞组件十大2017风险] 所述，保持这些框架和库的最新状态至关重要。