本書是由軟體安全領域的權威專家編著,講授如何實施軟體安全的專著。本書在論述軟體安全理論的基礎上詳細講解了如何將軟體安全付諸實踐。書中描述的軟體安全最優方法(或者稱為接觸點)以優秀的軟體工程方法為基礎,並且在整個軟體開發生命周期中都明確地仔細考量安全問題,即認識和理解普通的風險(包括實現缺陷和體系結構瑕疵)、基於安全進行設計,以及對所有的軟體工件都進行徹底、客觀的風險分析和測試。本書的目的是使接觸點方法為你所用。
基本介紹
- 書名:軟體安全:使安全成為軟體開發必需的部分
- 作者:(美國)GaryMcGraw
- ISBN:9787121058899
- 定價:49.80 元
- 出版社:電子工業出版社
- 出版時間:2008
- 開本:16
內容簡介,目錄,
內容簡介
採用本書的方法並不會從根本上改變你的工作方式,但是能夠改善現有的軟體開發生命周期,並能據此來創建自己的安全的開發生命周期。本書還介紹了知識管理、培訓與認知,以及企業級的軟體安全計畫等方面的內容。本書適合與軟體相關的任何機構的管理人員、商業人員、軟體架構人員、軟體開發人員、軟體測試人員以及安全管理人員閱讀,可以作為大學、研究機構和培訓機構的計算機安全和軟體安全課程的教材和參考書。
目錄
第1部分軟體安全基礎
第1章學科定義
1.1安全問題
1.1.1問題的三個方面:為什麼問題在不斷增加
1.1.2基礎科學
1.2軟體中的安全問題
1.2.1缺陷和瑕疵還有缺點,喔,天哪!
1.2.2缺點的範圍
1.2.3應用程式安全所面臨的問題
1.2.4軟體安全和操作
1.3解決問題:軟體安全的三根支柱
1.3.1支柱之一:套用風險管理
1.3.2支柱之二:軟體安全的接觸點
1.3.3支柱之三:知識
1.4安全工程的興起
軟體安全人人有責
第2章風險管理框架
2.1實際套用風險管理
2.2如何使用本章
2.3活動的五個階段
2.3.1第一階段:理解商業環境
2.3.2第二階段:確定商業和技術風險
2.3.3第三階段:綜合考慮並對風險分級
2.3.4第四階段:定義降低風險的策略
2.3.5第五階段:實施修復並進行驗證
2.3.6風險的測量與報告
2.4RMF是一種多重循環
2.5套用RMF:KillerAppCo的iWare1.0Server
2.5.1理解商業環境
2.5.2確定商業和技術風險
2.5.3綜合考慮並對風險分級
2.5.4定義降低風險的策略
2.5.5實施修復並進行驗證
2.6測量的重要性
2.6.1測量收益率
2.6.2RMF中的測量和衡量參數
2.7CigitalWorkbench
2.8風險管理是軟體安全的一種框架
第2部分軟體安全的七個接觸點
第3章軟體安全接觸點簡介
3.1概述:七個極好的接觸點
3.1.1代碼審核(工具)
3.1.2體系結構風險分析
3.1.3滲透測試
3.1.4基於風險的安全測試
3.1.5濫用案例
3.1.6安全需求
3.1.7安全操作
3.1.8外部分析
3.1.9為什麼只有七個接觸點
3.2黑與白:緊密難分地纏繞在一起的兩種思路
3.3向左移動
3.4接觸點是最優方法
3.5誰應該實施軟體安全
建立一個軟體安全組
3.6軟體安全是一種多學科工作
3.7走向成功的接觸點
第4章利用工具進行代碼審核
4.1(用工具)儘早發現實現中的缺陷
4.2目標是良好,而不是完美
4.3古老的歷史
4.4靜態分析的方法
4.4.1規則範圍的歷史
4.4.2現代規則
4.5進行研究的工具
4.6商業工具供應商
4.6.1商業原始碼分析程式
4.6.2原始碼分析工具的關鍵特徵
4.6.3應該避免的三種特徵
4.6.4Fortify原始碼分析套件
4.6.5Fortify知識庫
4.6.6使用Fortify
4.7接觸點方法:代碼審核
4.8利用工具查找安全缺陷
第5章體系結構風險分析
5.1安全風險分析方法中的共同主題
5.2傳統風險分析的術語
5.3知識要求
5.4森林級視圖的必要性
5.5一個傳統的風險計算的例子
5.6傳統方法的局限
5.7現代風險分析
5.7.1安全需求
5.7.2一種基本的風險分析方法
5.8接觸點方法:體系結構風險分析
5.8.1攻擊抵抗力分析
5.8.2不確定性分析
5.8.3弱點分析
5.9風險分析入門
5.10體系結構風險分析是必需的
第6章軟體滲透測試
6.1滲透測試的現狀
6.2軟體滲透測試——一種更好的方法
6.2.1使用工具
6.2.2進行多次測試
6.3在開發過程中套用反饋回來的測試結果
6.4利用滲透測試來評估應用程式的狀態
6.5正確的滲透測試是有益的
第7章基於風險的安全測試
7.1安全問題為何與眾不同
7.2風險管理與安全測試
7.3如何實現安全測試
7.3.1由誰來測試
7.3.2如何進行測試
7.4考慮(惡意的)輸入
7.5擺脫輸入
7.6與滲透測試一起交替向前推進
第8章濫用案例
8.1安全並不是一組功能特性
8.2你不能做的事情
8.3創建有用的濫用案例
但是根本沒有人會這樣做!
8.4接觸點方法:濫用案例開發
8.4.1創建反需求
8.4.2創建攻擊模型
8.5一個濫用案例的例子
8.6濫用案例很有用處
第9章軟體安全與安全操作相結合
9.1請別站得離我太近
9.2(軟體安全的)萬全之策
9.3(立即)一起協同工作
9.4未來如此光明,我必須戴墨鏡了
第3部分軟體安全的崛起
第10章企業級的軟體安全計畫
第11章軟體安全知識
第12章編碼錯誤分類法
第13章附說明的參考書目和文獻
第4部分附錄
附錄AFortify原始碼分析套件指南
附錄BITS4規則
附錄C關於風險分析的練習:Smurfware
C.1SmurfwareSmurfScanner風險評估案例研究
310
C.2SmurfwareSmurfScanner安全設計
附錄D術語表
索引
……
