软件安全:使安全成为软件开发必需的部分

讲授如何实施软件安全的专著。本书在论述软件安全理论的基础上详细讲解了如何将软件安全付诸实践。书中描述来自的软件安全最优方法(或者称为接触点)以优吃福评妈各秀的软件工程360百科方法为基础，并且在整个校留板效歌附密封软件开发生命周期中都明确地仔细考量安全问题，即认识和理解普通的风险(包括实现缺陷和体系结构瑕疵)、基于安全进行设计，以及对所有的软件工句还烟顶丝肥福强件都进行彻底、客观的风险分析和测试。本书的目的是使接触点方法为你所用。

• 书名 软件安全:使安全成为软件开发必需的部分
• 作者 (美国)GaryMcGraw
• 出版社 电子工业出版社
• 出版时间 2008年
• 定价 49.8 元

　　采用本书的方法并不会从根本上改变你的工作方式，但是能够改善现有的软件开发生命周期，并能据此来创建自己的安全的开发生命周期。本书还介绍了知识管理、培训与认知，以及企业级的软件安全来自计划等方面的内容。本书适合与软件相关的任何机构的管理人员、商业人员、软件架构人员、软件开发人员、软件测试人员以及安全管理人员阅读，可以作为大学、研究机构和培训机构的计岁不于谈赶查联算机安全和软件安全课程的教材和参考书。

目录

　　第1部分软件安全基础

　　第1章学科定义

　　1.1安全问题

　　1.1.1问题的三个方面:为什么问题在不断增加

　　1.1.2基础科学

　　1.2软件中的安全问题

　　1.2.1缺陷和瑕疵还有缺点，哦，天哪!

　　1.2.2缺点愿的范围

　　1.2.3应用程序安全所面临的问题

　　1.2.4软件安全和操作

　　1.3解决问青信抓据五二及培封策题:软件安全的三根支柱

360百科　　1.3.1支柱之一:应用风险管理

　　1.3.2支柱之二:软件安全的接触点

　　1.3.3支柱之三:知识

　　1.4安全工程的兴起

　　软件安全人人有责

　　第2章风险管理框架

　　2.1实际应用风险管理

　　2.2如何德片湖展望维病安哥发钟使用本章

　　2.3活动的湖县眼庆础笔无温五个阶段

　　2.3.1第一阶段:理解商业环境

　　2.3.2第二阶段:确定商业和技术风险

　　2.3.3第三阶段:综合考虑并对织低静风险分级

　　2.3.4第四阶段:定义降低风险的策略

　　2.3.5第五卷阶段:实施修复并进行验证

　　2.3.6风险的测量上什酸波角与报告

　　2.4RMF是字省齐巴一种多重循环

　　2.5应用RMF:KillerAppCo的iWare1.0Server

　　2.5.1理解商业环境

　　2.5.2确定商业和技术风险

　　2.5.3综合考虑并对风险分级

　　2.5.4定义降低风险的策略

　　2.5.5实施修复并进行验证

　　2.6测量的重要性

　　2.6.1测量收益率

　　2.6.2RMF中的测量和衡量参数

　　2.7CigitalWorkbench

　　2.8风险管理是软件安全的一种框架

　　第2部分软件安全的七个接触点

　　第3章软件安全接触点简介

　　3.1概述:七个极好的接触点

　　3.1.1代码审核(工具)

　　3.1.2体系结构风险分析

　　3.1.3渗透测试

　　3.1.4基于风险的安全测试

　　3.1.5滥用案例

　　3.1.6安全需求

　　3.1.7安全操作

　　临永威选际卫轴布3.1.8外部分析

　　主养听3.1.9为什么只有七个接触点

　　3.2黑与白:紧密难分地缠绕在一起的两种思路

　　3.3向左移动

　　3.4接触点是最优方法

　　3.5谁应该实施软件安全

　　建立一个软件安全组

　　3.6软件安全是一种多学科工作

　　3.7走向成功感永培凯现径原官任某头的接触点

　　第4章利用工具进行代码审核

　　4.1(用工具)尽早发现实现中的缺陷

　　4.2目标是良好，而不是完美

　　4.3古老的历史

　　4.4静态分析的方法

　　4.4.1规则范围文面用事径派的历史

　　4.4.2现代规则

　　4.5进行研究的工具

素矿督反常婷　　4.6商业工具供应商

　　4.6.1商业源代码分析程序

　　4.6.2商规则后节失源代码分析工具的关键特征

毛度　　4.6.3应该避免的三种特征

　　4.6.4Fortify源代码分析套件

　　家群洋章4.6.5Fortify知识库

　　4.6.6使用Fortify

　　4.7接触点方法:代码审核

　　4.8利用工具查找安全缺陷

　　第5章体系结构风险分析

　　5.1安全风险分析方法中的共同主题

　　5.2传统风险分析的术语

　　5.3知识要本混绍酸于输求

　　5.4森林级视图的必要性

　　5.5一个传统的风险计算的例子

　　5.6传统方法的局限

　　5.7现代风险分析

　　5.7.1安全需求

　　5.7.2一种基本的风险分析方法

　　5.8接触点方法:体系结构风险分析

　　5.8.1攻击抵抗力分析

　　5.8.2不确定性分析

　　5.8.3弱点分析

　　5.9风险分析入门

　　5.10体系结构风险分析是必需的

　　第6章软件渗透测试

　　6.1渗透测试的现状

　　6.2软件渗透测试--一种更好的方法

　　6.2.1使用工具

　　6.2.2进行多次测试

　　6.3在开发过程中应用反馈回来的测试结果

　　6.4利用渗透测试来评估应用程序的状态

　　6.5正确的渗透测试是有益的

　　第7章基于风险的安全测试

　　7.1安全问题为何与众不同

　　7.2风险管理与安全测试

　　7.3如何实现安全测试

　　7.3.1由谁来测试

　　7.3.2如何进行测试

　　7.4考虑(恶意的)输入

　　7.5摆脱输入

　　7.6与渗透测试一起交替向前推进

　　第8章滥用案例

　　8.1安全并不是一组功能特性

　　8.2你不能做的事情

　　8.3创建有用的滥用案例

　　但是根本没有人会这样做!

　　8.4接触点方法:滥用案例开发

　　8.4.1创建反需求

　　8.4.2创建攻击模型

　　8.5一个滥用案例的例子

　　8.6滥用案例很有用处

　　第9章软件安全与安全操作相结合

　　9.1请别站得离我太近

　　9.2(软件安全的)万全之策

　　9.3(立即)一起协同工作

　　9.4未来如此光明，我必须戴墨镜了

　　第3部分软件安全的崛起

　　第10章企业级的软件安全计划

　　第11章软件安全知识

　　第12章编码错误分类法

　　第13章附说明的参考书目和文献

　　第4部分附录

　　附录AFortify源代码分析套件指南

　　附录BITS4规则

　　附录C关于风险分析的练习:Smurfware

　　C.1SmurfwareSmurfScanner风险评估案例研究

　　310

　　C.2SmurfwareSmurfScanner安全设计

　　附录D术语表

　　索引

　　……