软体安全：使安全成为软体开发必需的部分 _生活百科

文章插图
软体安全：使安全成为软体开发必需的部分【软体安全：使安全成为软体开发必需的部分】本书是由软体安全领域的权威专家编着，讲授如何实施软体安全的专着。本书在论述软体安全理论的基础上详细讲解了如何将软体安全付诸实践。书中描述的软体安全最优方法（或者称为接触点）以优秀的软体工程方法为基础，并且在整个软体开发生命周期中都明确地仔细考量安全问题，即认识和理解普通的风险（包括实现缺陷和体系结构瑕疵）、基于安全进行设计，以及对所有的软体工件都进行彻底、客观的风险分析和测试。本书的目的是使接触点方法为你所用。
基本介绍书名：软体安全：使安全成为软体开发必需的部分
作者：（美国）GaryMcGraw
ISBN：9787121058899
定价：49.80 元
出版社：电子工业出版社
出版时间：2008
开本：16
内容简介採用本书的方法并不会从根本上改变你的工作方式，但是能够改善现有的软体开发生命周期，并能据此来创建自己的安全的开发生命周期。本书还介绍了知识管理、培训与认知，以及企业级的软体安全计画等方面的内容。本书适合与软体相关的任何机构的管理人员、商业人员、软体架构人员、软体开发人员、软体测试人员以及安全管理人员阅读，可以作为大学、研究机构和培训机构的计算机安全和软体安全课程的教材和参考书。目录第1部分软体安全基础第1章学科定义1.1安全问题1.1.1问题的三个方面：为什幺问题在不断增加1.1.2基础科学1.2软体中的安全问题1.2.1缺陷和瑕疵还有缺点，喔，天哪！1.2.2缺点的範围1.2.3应用程式安全所面临的问题1.2.4软体安全和操作1.3解决问题：软体安全的三根支柱1.3.1支柱之一：套用风险管理1.3.2支柱之二：软体安全的接触点1.3.3支柱之三：知识1.4安全工程的兴起软体安全人人有责第2章风险管理框架2.1实际套用风险管理2.2如何使用本章2.3活动的五个阶段2.3.1第一阶段：理解商业环境2.3.2第二阶段：确定商业和技术风险2.3.3第三阶段：综合考虑并对风险分级2.3.4第四阶段：定义降低风险的策略2.3.5第五阶段：实施修复并进行验证2.3.6风险的测量与报告2.4RMF是一种多重循环2.5套用RMF：KillerAppCo的iWare1.0Server2.5.1理解商业环境2.5.2确定商业和技术风险2.5.3综合考虑并对风险分级2.5.4定义降低风险的策略2.5.5实施修复并进行验证2.6测量的重要性2.6.1测量收益率2.6.2RMF中的测量和衡量参数2.7CigitalWorkbench2.8风险管理是软体安全的一种框架第2部分软体安全的七个接触点第3章软体安全接触点简介3.1概述：七个极好的接触点3.1.1代码审核（工具）3.1.2体系结构风险分析3.1.3渗透测试3.1.4基于风险的安全测试3.1.5滥用案例3.1.6安全需求3.1.7安全操作3.1.8外部分析3.1.9为什幺只有七个接触点3.2黑与白：紧密难分地缠绕在一起的两种思路3.3向左移动3.4接触点是最优方法3.5谁应该实施软体安全建立一个软体安全组3.6软体安全是一种多学科工作3.7走向成功的接触点第4章利用工具进行代码审核4.1（用工具）儘早发现实现中的缺陷4.2目标是良好，而不是完美4.3古老的历史4.4静态分析的方法4.4.1规则範围的历史4.4.2现代规则4.5进行研究的工具4.6商业工具供应商4.6.1商业原始码分析程式4.6.2原始码分析工具的关键特徵4.6.3应该避免的三种特徵4.6.4Fortify原始码分析套件4.6.5Fortify知识库4.6.6使用Fortify4.7接触点方法：代码审核4.8利用工具查找安全缺陷第5章体系结构风险分析5.1安全风险分析方法中的共同主题5.2传统风险分析的术语5.3知识要求5.4森林级视图的必要性5.5一个传统的风险计算的例子5.6传统方法的局限5.7现代风险分析5.7.1安全需求5.7.2一种基本的风险分析方法5.8接触点方法：体系结构风险分析5.8.1攻击抵抗力分析5.8.2不确定性分析5.8.3弱点分析5.9风险分析入门5.10体系结构风险分析是必需的第6章软体渗透测试6.1渗透测试的现状6.2软体渗透测试——一种更好的方法6.2.1使用工具6.2.2进行多次测试6.3在开发过程中套用反馈回来的测试结果6.4利用渗透测试来评估应用程式的状态6.5正确的渗透测试是有益的第7章基于风险的安全测试7.1安全问题为何与众不同7.2风险管理与安全测试7.3如何实现安全测试7.3.1由谁来测试7.3.2如何进行测试7.4考虑（恶意的）输入7.5摆脱输入7.6与渗透测试一起交替向前推进第8章滥用案例8.1安全并不是一组功能特性8.2你不能做的事情8.3创建有用的滥用案例但是根本没有人会这样做！8.4接触点方法：滥用案例开发8.4.1创建反需求8.4.2创建攻击模型8.5一个滥用案例的例子8.6滥用案例很有用处第9章软体安全与安全操作相结合9.1请别站得离我太近9.2（软体安全的）万全之策9.3（立即）一起协同工作9.4未来如此光明，我必须戴墨镜了第3部分软体安全的崛起第10章企业级的软体安全计画第11章软体安全知识第12章编码错误分类法第13章附说明的参考书目和文献第4部分附录附录AFortify原始码分析套件指南附录BITS4规则附录C关于风险分析的练习：SmurfwareC.1SmurfwareSmurfScanner风险评估案例研究310C.2SmurfwareSmurfScanner安全设计附录D术语表索引……