軟件安全

內(nèi)容概要

本書是由軟件安全領(lǐng)域的權(quán)威專家編著，講授如何實施軟件安全的專著。本書在論述軟件安全理論的基礎(chǔ)上詳細講解了如何將軟件安全付諸實踐。書中描述的軟件安全最優(yōu)方法（或者稱為接觸點）以優(yōu)秀的軟件工程方法為基礎(chǔ)，并且在整個軟件開發(fā)生命周期中都明確地仔細考量安全問題，即認識和理解普通的風(fēng)險（包括實現(xiàn)缺陷和體系結(jié)構(gòu)瑕疵）、基于安全進行設(shè)計，以及對所有的軟件工件都進行徹底、客觀的風(fēng)險分析和測試。本書的目的是使接觸點方法為你所用。采用本書的方法并不會從根本上改變你的工作方式，但是能夠改善現(xiàn)有的軟件開發(fā)生命周期，并能據(jù)此來創(chuàng)建自己的安全的開發(fā)生命周期。本書還介紹了知識管理、培訓(xùn)與認知，以及企業(yè)級的軟件安全計劃等方面的內(nèi)容?！　”緯m合與軟件相關(guān)的任何機構(gòu)的管理人員、商業(yè)人員、軟件架構(gòu)人員、軟件開發(fā)人員、軟件測試人員以及安全管理人員閱讀，可以作為大學(xué)、研究機構(gòu)和培訓(xùn)機構(gòu)的計算機安全和軟件安全課程的教材和參考書。

作者簡介

Gary McGraw，博士，Cigital公司的首席技術(shù)官和董事會成員。他也是軟件安全領(lǐng)域的世界級權(quán)威，與人合著了5部最暢銷的安全方面的著作：與rootkit.com的Greg Hoglund合著《利用軟件的弱點》（Exploiting Software；Addison-Wesley出版社，2004）；與John Viega合著《建造安全的軟件》（Building Secure Software；Addison-Wesley出版社，2001）；與普林斯頓大學(xué)的Ed Felten教授合著《Java的安全性：有害的小程序、漏洞和解決方法》（Java Security: Hostile Applets，Holes，and Antidotes；Wiley出版社，1996）。

書籍目錄

第1部分  軟件安全基礎(chǔ)　第1章  學(xué)科定義　　1.1  安全問題　　1.2  軟件中的安全問題　　1.3  解決問題：軟件安全的三根支柱　　1.4  安全工程的興起軟件安全人人有責(zé)　第2章  風(fēng)險管理框架　　2.1  實際應(yīng)用風(fēng)險管理　　2.2  如何使用本章　　2.3  活動的五個階段　　2.4   RMF是一種多重循環(huán)　　2.5  應(yīng)用RMF：KillerAppCo的iWare 1.0 Server　　2.6   測量的重要性　　2.7  Cigital Workbench　　2.8  風(fēng)險管理是軟件安全的一種框架第2部分  軟件安全的七個接觸點　第3章  軟件安全接觸點簡介　　3.1  概述：七個極好的接觸點　　3.2  黑與白：緊密難分地纏繞在一起的兩種思路　　3.3  向左移動　　3.4  接觸點是最優(yōu)方法　　3.5  誰應(yīng)該實施軟件安全建立一個軟件安全組　　3.6  軟件安全是一種多學(xué)科工作　　3.7  走向成功的接觸點　第4章  利用工具進行代碼審核　　4.1  （用工具）盡早發(fā)現(xiàn)實現(xiàn)中的缺陷　　4.2  目標(biāo)是良好，而不是完美　　4.3  古老的歷史　　4.4  靜態(tài)分析的方法　　4.5  進行研究的工具　　4.6  商業(yè)工具供應(yīng)商　　4.7  接觸點方法：代碼審核　　4.8  利用工具查找安全缺陷　第5章  體系結(jié)構(gòu)風(fēng)險分析　　5.1  安全風(fēng)險分析方法中的共同主題　　5.2  傳統(tǒng)風(fēng)險分析的術(shù)語　　5.3  知識要求　　5.4  森林級視圖的必要性　　5.5  一個傳統(tǒng)的風(fēng)險計算的例子　　5.6  傳統(tǒng)方法的局限　　5.7  現(xiàn)代風(fēng)險分析　　5.8  接觸點方法：體系結(jié)構(gòu)風(fēng)險分析　　5.9  風(fēng)險分析入門　　5.10  體系結(jié)構(gòu)風(fēng)險分析是必需的　第6章  軟件滲透測試　　6.1  滲透測試的現(xiàn)狀　　6.2  軟件滲透測試——一種更好的方法　　6.3  在開發(fā)過程中應(yīng)用反饋回來的測試結(jié)果　　6.4  利用滲透測試來評估應(yīng)用程序的狀態(tài)　　6.5  正確的滲透測試是有益的　第7章  基于風(fēng)險的安全測試　　7.1  安全問題為何與眾不同　　7.2  風(fēng)險管理與安全測試　　7.3  如何實現(xiàn)安全測試　　7.4  考慮（惡意的）輸入　　7.5  擺脫輸入　　7.6  與滲透測試一起交替向前推進　第8章  濫用案例　　8.1  安全并不是一組功能特性　　8.2  你不能做的事情　　8.3  創(chuàng)建有用的濫用案例但是根本沒有人會這樣做！　　8.4  接觸點方法：濫用案例開發(fā)　　8.5　一個濫用案例的例子　　8.6  濫用案例很有用處　第9章  軟件安全與安全操作相結(jié)合　　9.1  請別站得離我太近　　9.2 （軟件安全的）萬全之策　　9.3 （立即）一起協(xié)同工作　　9.4  未來如此光明，我必須戴墨鏡了第3部分  軟件安全的崛起　第10章  企業(yè)級的軟件安全計劃　　10.1  商業(yè)氛圍　　10.2  分步進行　　10.3  制訂一個改進計劃　　10.4  建立一種衡量方法一種分三步進行的企業(yè)實施方法　　10.5  持續(xù)不斷地改進　　10.6  商業(yè)現(xiàn)貨軟件（以及現(xiàn)有的軟件應(yīng)用程序）又該怎么辦一種企業(yè)信息體系結(jié)構(gòu)　　10.7  采用一種安全的開發(fā)生命周期　第11章  軟件安全知識　　11.1  經(jīng)驗、專業(yè)知識與安全　　11.2  安全知識：一種統(tǒng)一的觀點　　11.3  安全知識與接觸點　　11.4  美國國土安全部的Build Security In門戶網(wǎng)站　　11.5  知識管理不斷發(fā)展　　11.6  現(xiàn)在開始實施軟件安全　第12章  編碼錯誤分類法　　12.1  關(guān)于簡化：七加二或者減二　　12.2  門需要更多門　　12.3  一個完整的例子　　12.4  清單、堆和集合　　12.5 （與分類法一起）前進并取得成功　第13章  附說明的參考書目和文獻　　13.1  附說明的參考書目：最近發(fā)表的作品　　13.2  軟件安全的難題基礎(chǔ)科學(xué)：還需繼續(xù)研究的領(lǐng)域第4部分  附錄　附錄A  Fortify源代碼分析套件指南　　A.1  審核工作臺簡介　　A.2  手工審核源代碼　　A.3  確保一個可用的建造環(huán)境　　A.4  運行源代碼分析引擎　　A.5  研究基本的SCA引擎命令行參數(shù)　　A.6  理解原始分析結(jié)果　　A.7  集成一種自動建造過程　　A.8  使用Audit Workbench　　A.9  審核開源應(yīng)用程序　附錄B  ITS4規(guī)則　附錄C  關(guān)于風(fēng)險分析的練習(xí)：Smurfware　　C.1  Smurfware SmurfScanner風(fēng)險評估案例研究　　C.2  Smurfware SmurfScanner安全設(shè)計　附錄D  術(shù)語表索引

媒體關(guān)注與評論

　　“我討厭充滿了愚蠢的安全漏洞的軟件。如果你要編寫一款我將來可能會使用的軟件，那你就需要閱讀并理解這本書。”　　“Gary的書告訴了我們早就應(yīng)該知道的知識：在你開發(fā)軟件時，最好使安全成為必需的組成部分，而且，他還說明了如何使安全成為必需的組成部分?！薄　　狹arcus J. Ranum　　防火墻的發(fā)明人Tenable Security公司首席科學(xué)家　　“對于軟件安全來說，最難纏的就是實現(xiàn)細節(jié)。本書解決了其中的細節(jié)問題?！薄　　狟ruce Schneier Counterpane公司的CTO和創(chuàng)建人

編輯推薦

《安全技術(shù)大系?軟件安全:使安全成為軟件開發(fā)必需的部分》適合與軟件相關(guān)的任何機構(gòu)的管理人員、商業(yè)人員、軟件架構(gòu)人員、軟件開發(fā)人員、軟件測試人員以及安全管理人員閱讀，可以作為大學(xué)、研究機構(gòu)和培訓(xùn)機構(gòu)的計算機安全和軟件安全課程的教材和參考書。

圖書封面

圖書標(biāo)簽Tags

無

評論、評分、閱讀與下載

---

    軟件安全 PDF格式下載

---