軟件安全敗局啟示錄

前言

　　對(duì)于什么是不安全的軟件，它們?nèi)绾斡绊懳覀兊纳睿约盀槭裁磻?yīng)該關(guān)注它們等問題，讀者可能略知一些，也可能不甚了解，這沒什么。本書旨在向讀者介紹軟件對(duì)現(xiàn)代社會(huì)影響的概況和結(jié)果，而不會(huì)講那些只有專家才理解的術(shù)語或關(guān)注的細(xì)節(jié)。本書只需要讀者對(duì)這些問題有一些好奇心而已?！　”M管我們每天都在使用軟件，例如，我們的移動(dòng)電話中攜帶著軟件，我們用軟件駕駛著汽車，在家用和商業(yè)計(jì)算機(jī)中使用著軟件，但軟件本身卻是隱藏著的，它是機(jī)器的靈魂。軟件是一種只在某些時(shí)間發(fā)揮功能的神秘之物。我們的問題就在于此?！　≤浖菢?gòu)成現(xiàn)在基礎(chǔ)設(shè)施的要素。軟件不僅被注入到越來越多的商業(yè)產(chǎn)品和服務(wù)中，而且政府也越來越多地使用軟件來管理生活的細(xì)節(jié)，用它來分配我們作為公民所享受的利益和公共服務(wù)，并管理和保衛(wèi)整個(gè)國(guó)家。我們每天如何、何時(shí)接觸軟件，以及軟件如何、何時(shí)接觸我們，已經(jīng)由不得我們選擇。軟件的質(zhì)量舉足輕重，它保護(hù)我們免受損害和披利用的水平比以往更加重要。

內(nèi)容概要

本書對(duì)軟件安全的現(xiàn)狀及解決方案進(jìn)行了清晰、全面的闡述。本書討淪了軟件對(duì)于現(xiàn)代文明基礎(chǔ)設(shè)施的重要性，凸現(xiàn)了軟件用戶面臨的危險(xiǎn)現(xiàn)狀，通過“破窗理論”闡述了軟件漏洞的危害，說明了當(dāng)前管理層的弊病，指出了軟件行業(yè)是如何逃避責(zé)任的，討論了開源軟件與專有軟件的區(qū)別和共同弱點(diǎn)，提出了應(yīng)該建立怎樣的動(dòng)機(jī)來改變軟件的未來。    本書適合對(duì)信息安全感興趣的技術(shù)人員和普通讀者閱讀。

作者簡(jiǎn)介

David Rice是國(guó)際公認(rèn)的信息安全專家，也是一位有著深刻造詣的教育家和思想家。10年來，他為全球政府及私營(yíng)企業(yè)的IT網(wǎng)絡(luò)提供咨詢、建議和保護(hù)。David獲得英國(guó)國(guó)防部的促進(jìn)關(guān)鍵國(guó)家基礎(chǔ)設(shè)施和全球網(wǎng)絡(luò)安全的“杰出貢獻(xiàn)”獎(jiǎng)。此外，David還編寫了大量IT安全課程和出版物，

書籍目錄

譯者序 前言 第1章　文明的基礎(chǔ)   1.1　軟件與水泥   1.2　在“功用性”陰影的籠罩下   1.3　脆弱的類比 第2章　60億人充當(dāng)“碰撞實(shí)驗(yàn)假人”：非理性的創(chuàng)新和不正當(dāng)?shù)膭?dòng)機(jī)   2.1　碰撞實(shí)驗(yàn)假人的故事   2.2　五星級(jí)評(píng)級(jí)系統(tǒng)的使用和發(fā)展   2.3　我們可以從碰撞假人中學(xué)到很多   2.4　個(gè)人利益，社會(huì)代價(jià)   2.5　市場(chǎng)失敗的馬提尼酒，不加冰塊   2.6　對(duì)速度的需求   2.7　補(bǔ)丁的弊病   2.8　非理性創(chuàng)新   2.9　市場(chǎng)失敗的馬提尼酒，加一片檸檬  2.10　掩飾：馬提尼酒的殘留物 第3章　漏洞的力量：破窗理論與國(guó)家安全  3.1　只有蠢人被抓住          3.2　地下市場(chǎng)          3.3　數(shù)字并不總能作為度量標(biāo)準(zhǔn)          3.4　欺詐和恐怖活動(dòng)          3.5　信息戰(zhàn)爭(zhēng)          3.6　破窗理論          3.7　自購(gòu)買那一刻起就是破損的          3.8　看不到的風(fēng)險(xiǎn)          3.9　走進(jìn)“龍”的世界          3.10　內(nèi)部的邪惡          3.11　修補(bǔ)打破的窗戶        第4章　短視的監(jiān)督：因速度而盲目，因混沌而受阻          4.1　攪乳定律，速度的評(píng)判          4.2　完全放任的后果          4.3　超乎想象的X光          4.4　請(qǐng)不要影響我們的速度，我們需要生存          4.5　只有在損失發(fā)生后才發(fā)現(xiàn)          4.6　來歷不明的旋鈕          4.7　我們將遵守法規(guī)，但只是在以后          4.8　盲目追求速度          4.9　我們從州際高速公路體系能夠?qū)W到很多          4.10　信任的力量          4.11　藝術(shù)中的技藝        第5章　絕對(duì)免疫：你無法控告我們， 即使你想這樣做          5.1　失敗的力量          5.2　過失的免罪          5.3　邊界紛爭(zhēng)的受害者          5.4　責(zé)任、破壞、起因、損害          5.5　用“心靈運(yùn)輸法”傳送老虎          5.6　預(yù)防成本最低者          5.7　過失與嚴(yán)格責(zé)任          5.8　剝奪免疫          5.9　嚴(yán)格責(zé)任與領(lǐng)航圖          5.10　由于過失而支持計(jì)算機(jī)犯罪是一種侵權(quán)          5.11　裁決是什么        第6章　開源軟件：免費(fèi)，但代價(jià)是什么          6.1　開放的與封閉的          6.2　自由和開放的歷史          6.3　“搔癢”的動(dòng)機(jī)          6.4　可持續(xù)安全的問題          6.5　分布式免疫：無法指責(zé)任何人          6.6　摘去巫師帽        第7章　前進(jìn)：建立合理的動(dòng)機(jī)，創(chuàng)造不同的未來          7.1　請(qǐng)勿動(dòng)手          7.2　用侵權(quán)理論改變現(xiàn)狀的困難之旅          7.3　一枚戒指約束所有人          7.4　“偉大的”螺絲          7.5　充滿漏洞的市場(chǎng)          7.6　小結(jié)          結(jié)束語          注釋

章節(jié)摘錄

　　第1章 文明的基礎(chǔ)　　對(duì)于倫敦市來說，l854年是可怕的一年。那一年爆發(fā)了20年中的第三次霍亂，奪走了10 000多人的生命。在此之前，6屆城市委員會(huì)都沒能有效地解決倫敦市日益嚴(yán)重的污水問題，致使整個(gè)首都地區(qū)的l00多萬人口蒙受災(zāi)難的肆虐：化糞池溢出、下水道結(jié)構(gòu)問題、地下水被污染，以及危險(xiǎn)的泰晤士河污染問題。由于倫敦當(dāng)時(shí)是人口最密集的城市之一，并且對(duì)泰晤士河依賴嚴(yán)重，因此城市委員會(huì)的不作為導(dǎo)致了不幸的后果。可悲的是，數(shù)以千計(jì)人的喪生并沒有促使國(guó)會(huì)克服盛行的官僚作風(fēng)，以及戰(zhàn)勝這場(chǎng)危機(jī)所必需的政治障礙?！　≈钡絣858年一個(gè)異常炎熱的夏天，泰晤士河上的臭氣漫延到四周，河流附近仍在堅(jiān)持的居民終于無法忍耐了，這其中包括一些國(guó)會(huì)議員，他們中很多人原來仍認(rèn)為霍亂是由空氣傳播的，而不是一種通過水傳播的病原體。于是，由這次“奇臭”（Great Stink）推動(dòng)了倫敦有史以來最大的一項(xiàng)市政工程項(xiàng)目?！　≡诮酉聛淼膌0年中，Joseph Bazalgette作為市政工程委員會(huì)的首席工程師，排除萬難建造了倫敦的下水道和更大的污水網(wǎng)絡(luò)。雖然有來之不易的國(guó)會(huì)支持和Bazalgette自己的杰出設(shè)計(jì)，但在居民生活的同時(shí)且城市不斷擴(kuò)張的情況下，建造這樣一個(gè)新的污水網(wǎng)絡(luò)面臨嚴(yán)峻的技術(shù)和工程挑戰(zhàn)?！　∑渲凶蠲黠@的一個(gè)挑戰(zhàn)就是在挖掘下水管道時(shí)，最大限度地減少對(duì)局部商業(yè)和必要的日?；顒?dòng)的破壞。其次的一個(gè)挑戰(zhàn)（但并非不重要）是為這個(gè)龐大的項(xiàng)目選擇承包方法和建筑材料。現(xiàn)代的公共工程項(xiàng)目，例如加利福尼亞水道、美國(guó)的州際公路系統(tǒng)或中國(guó)的三峽水利工程，都體現(xiàn)了大量的協(xié)作并且使用了混凝土材料。但那時(shí)Bazalgette并沒有這兩樣條件?！　?hellip;…

媒體關(guān)注與評(píng)論

　  “David的清晰的觀點(diǎn)和有力的論斷真令人鼓舞。如果你不相信軟件世界影響了我們所生活的世界，那么你一定要讀一讀這本書。” 　 ——Lenny Zeltser，美國(guó)系統(tǒng)網(wǎng)絡(luò)安全協(xié)會(huì)教員，Savvis，Inc的紐約安全顧問經(jīng)理 　  “讀完本書后你會(huì)不忍釋卷。你將重新思考軟件成本和獲益的所有問題。”　 ——Slava Frid，Gemini Systems，CTO，Resilience Technology Solutions 　  “信息安全是政府、公司和越來越多的市民所關(guān)注的問題。我們已經(jīng)將自己的敏感和關(guān)鍵的信息托付給計(jì)算機(jī)系統(tǒng)和軟件技術(shù)，而這些技術(shù)是否已經(jīng)脫離了我們的控制?David Rice編寫了一本重要且受歡迎的書，他深入探討了這個(gè)問題的核心，并指出整個(gè)社會(huì)需要討論和采納的解決方案。” 　 ——Nick Bleech，IT安全主管，Rolls-Royce 　  “如果你離不開軟件（現(xiàn)代世界中的人無不依賴于它），那么本書用其博大精深的討論告訴了我們應(yīng)該擔(dān)憂些什么，以及為什么要擔(dān)憂。”　 ——Becky Bace

編輯推薦

　　《軟件安全敗局啟示錄》特點(diǎn)：不安全、粗制濫造的軟件的代價(jià)令人擔(dān)憂，如何最后修復(fù)問題，《軟件安全敗局啟示錄》給出了徹底的論述！　　60億碰撞實(shí)驗(yàn)假人：為什么你現(xiàn)在所處的風(fēng)險(xiǎn)遠(yuǎn)遠(yuǎn)超乎你的想象。　　你付出代價(jià)：為什么消費(fèi)者要從法律和財(cái)務(wù)上為軟件制造商的錯(cuò)誤負(fù)責(zé)。　　打破的窗戶：軟件如何加速計(jì)算機(jī)犯罪的流行并威脅國(guó)家安全　　誰控制著整場(chǎng)表演？為什么軟件制造商要抵制美國(guó)食品和藥品管理局保護(hù)美國(guó)血液供應(yīng)的企圖？　　保護(hù)國(guó)家基礎(chǔ)設(shè)施：改革軟件生產(chǎn)的真正動(dòng)機(jī)?！　≌刃畔⒏咚俟罚涸谝粋€(gè)充滿不安全代碼的世界中的實(shí)踐性、必讀之建議　　1996年，波音757中的一個(gè)軟件缺陷導(dǎo)致飛機(jī)墜毀。70人喪生。2003年，一個(gè)軟件漏洞導(dǎo)致美國(guó)幾十年來最大的電力中斷事故。2004年，一位黑客利用已知漏洞入侵了T-Mobile系統(tǒng)，獲取了該系統(tǒng)的所有內(nèi)容，從密碼到帕麗斯·希爾頓的照片。2005年，23900多輛豐田瞢銳斯被召回，原因是軟件錯(cuò)誤可能會(huì)導(dǎo)致汽車在高速公路上熄火。2006年授命名為“計(jì)算機(jī)犯罪年”。這一年發(fā)現(xiàn)了7000個(gè)軟件漏洞，黑客可以利用這些漏洞來訪問私人信息……2007年，兩個(gè)國(guó)家的間諜利用軟件漏洞破壞了其他國(guó)家的基礎(chǔ)設(shè)施，并從其盜取商業(yè)機(jī)密……　　軟件對(duì)于文明的生存已經(jīng)變得至關(guān)重要。但編寫差、不安全的軟件正在損害著人們，并且每年導(dǎo)致企業(yè)和個(gè)人蒙受數(shù)十億美元的損失。這種情況必須改變。在本書中，Davld Rlce展示了我們?nèi)绾文軌蚋淖兯！　ice揭示了為什么軟件行業(yè)會(huì)因?yàn)榇中拇笠夥炊鴷?huì)得到利益，以及如何改正軟件行業(yè)的動(dòng)機(jī)，以獲得急需的可靠性和安全性。讀者將發(fā)現(xiàn)為什么軟件行業(yè)仍然只承擔(dān)如此少的責(zé)任，以及為了糾正這個(gè)問題我們必須做什么?！　”緯鴺O富文采，引人入勝、注重實(shí)際，是一本遲到已久的《吶喊》。無論你是軟件用戶、決策者、員工，還是企業(yè)家，本書都將改變你的生活……甚至拯救你的生活。

圖書封面

圖書標(biāo)簽Tags

無

評(píng)論、評(píng)分、閱讀與下載

---

    軟件安全敗局啟示錄 PDF格式下載

---