为了引导开发人员了解他们需要保护哪些内容，开放 Web 应用程序安全项目 (Open Web Application Security Project，OWASP) 发布了一份文档，其中列出了今年确定的最关键的安全漏洞十个。解决这十个安全漏洞并不能提供全面的安全性，而是提高人们对当前主要安全威胁的认识的良好开端。

本文档介绍了 Oracle Clinical One Platform API 如何解决安全漏洞、识别 Oracle Clinical One Platform API 中用于或可用于解决相关风险的控制措施，并介绍了 API 开发人员应如何解决 OWASP 2017 年的安全漏洞和风险问题。

在某些情况下，控制措施会编码到产品中，并且需要 API 开发人员正确使用控制措施来验证控制的完整性。使用 Oracle Clinical One Platform API 的开发人员应使用此文档以及 Oracle Cloud SaaS Security Practices （下载 My Oracle Support 上的 Oracle Cloud Operations Center 中可供注册用户的链接，Doc ID 1541346.2）来确定必要的安全控制，以便在与 Oracle Clinical One Platform 集成的同时维护 API 接口的风险状况。

钱可以买到的最好的应用安全就是教育。开发人员和项目负责人必须注意潜在的安全问题并了解安全编码做法。培训必须包括对潜在风险以及有助于缓解漏洞的开发和部署平台的功能的深入解释。

应用安全性最重要的设计原则是按设计和默认实现安全性。无论使用何种工具和平台，所有开发组织都应提供、遵守和执行安全编码准则。

默认情况下，安全的一个很好的例子是，我们都希望在断电时电梯的行为如何。而不是释放刹车，我们希望电梯将刹车用于机舱内乘客的安全。但是，如果没有人将这定义为默认行为，电梯会如何知道应该使用刹车？因此，在考虑如何防止外部攻击之前，确定应用程序的安全默认值以防止其发生内部攻击是有意义的。但是，如果没有培训和提高认识，这就行不通。

开发人员并不总是在平台提供或内置到框架的安全工具集中找到他们所需的应用程序安全性。因此，在发展项目中，自有担保并不少见。如果应用程序替换了使用特定非标准安全基础结构的现有系统，则尤其如此。例如，基于数据库的验证和授权与运行时用户预配和资源授权结合使用。

构建自身安全性的相关风险在于，在安全层、应用安全传播和一次登入等质量保证方面，您也独自存在；并且您负责安全层的 bug 修复和维护。

并非所有开发人员都是安全专家，但专家是构建自定义安全层所需要的。

调查现有且功能完备的安全解决方案所花费的时间可能非常长。与创建易于出错的自写机制相比，现有解决方案可以更轻松、更经济高效地应用于定制应用。

如果应用程序本身在不安全的环境中运行，应用程序安全性将不可用。外围设备安全性描述在 API 域外部的服务器、网络和其他数据访问通道上添加的保护级别。如本文档所示，2017 年记录的 OWASP 十大安全漏洞与特定实施的应用程序开发人员无关。