代码安全性是开发人员和 Internet 应用程序用户的主要问题。 存在风险:恶意代码、已篡改的代码,以及来自未知网站或作者的代码。
为 Internet 进行开发时,有两种安全的基本方法。 第一个称为“沙盒”。在此方法中,应用程序仅限于一组特定的 API,并被排除在文件 I/O 等潜在危险的 API 中,程序可以在其中销毁用户计算机上的数据。 第二个是使用数字签名实现的。 这种方法被称为互联网的“收缩膜”。 使用私钥/公钥技术验证并签名代码。 在运行代码之前,将验证其数字签名,以确保代码来自已知的经过身份验证的源,并且代码自签名以来尚未更改。
在第一种情况下,你信任应用程序不会造成任何损害,并且你信任应用程序的源。 其次,数字签名用于验证真实性。 数字签名是一种行业标准,用于识别和提供有关代码发布者的详细信息。 其技术基于标准,包括 RSA 和 X.509。 浏览器通常允许用户选择是否要下载并运行未知源的代码。