软件安全 使安全成为软件开发必需的部分【2025|PDF|Epub|mobi|kindle电子书版本百度云盘下载】

软件安全 使安全成为软件开发必需的部分PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第1部分 软件安全基础2

第1章 学科定义2

1.1 安全问题3

1.1.1 问题的三个方面：为什么问题在不断增加4

1.1.2 基础科学9

1.2 软件中的安全问题11

1.2.1 缺陷和瑕疵还有缺点，哦，天哪！12

1.2.2 缺点的范围15

1.2.3 应用程序安全所面临的问题16

1.2.4 软件安全和操作20

1.3 解决问题：软件安全的三根支柱21

1.3.1 支柱之一：应用风险管理22

1.3.2 支柱之二：软件安全的接触点23

1.3.3 支柱之三：知识29

1.4 安全工程的兴起31

软件安全人人有责32

第2章 风险管理框架33

2.1 实际应用风险管理34

2.2 如何使用本章35

2.3 活动的五个阶段35

2.3.1 第一阶段：理解商业环境36

2.3.2 第二阶段：确定商业和技术风险37

2.3.3 第三阶段：综合考虑并对风险分级37

2.3.4 第四阶段：定义降低风险的策略38

2.3.5 第五阶段：实施修复并进行验证38

2.3.6 风险的测量与报告39

2.4 RMF是一种多重循环39

2.5 应用RMF：KillerAppCo的iWare 1.0 Server40

2.5.1 理解商业环境41

2.5.2 确定商业和技术风险42

2.5.3 综合考虑并对风险分级52

2.5.4 定义降低风险的策略55

2.5.5 实施修复并进行验证57

2.6 测量的重要性58

2.6.1 测量收益率58

2.6.2 RMF中的测量和衡量参数59

2.7 Cigital Workbench60

2.8 风险管理是软件安全的一种框架63

第2部分 软件安全的七个接触点66

第3章 软件安全接触点简介66

3.1 概述：七个极好的接触点68

3.1.1 代码审核（工具）68

3.1.2 体系结构风险分析69

3.1.3 渗透测试69

3.1.4 基于风险的安全测试70

3.1.5 滥用案例70

3.1.6 安全需求70

3.1.7 安全操作71

3.1.8 外部分析71

3.1.9 为什么只有七个接触点71

3.2 黑与白：紧密难分地缠绕在一起的两种思路72

3.3 向左移动73

3.4 接触点是最优方法75

3.5 谁应该实施软件安全77

建立一个软件安全组78

3.6 软件安全是一种多学科工作80

3.7 走向成功的接触点82

第4章 利用工具进行代码审核84

4.1 用工具尽早发现实现中的缺陷85

4.2 目标是良好，而不是完美87

4.3 老的历史88

4.4 静态分析的方法89

4.4.1 规则范围的历史90

4.4.2 现代规则92

4.5 进行研究的工具97

4.6 商业工具供应商99

4.6.1 商业源代码分析程序99

4.6.2 源代码分析工具的关键特征100

4.6.3 应该避免的三种特征101

4.6.4 Fortify源代码分析套件102

4.6.5 Fortify知识库106

4.6.6 使用 Fortify108

4.7 接触点方法：代码审核108

4.8 利用工具查找安全缺陷110

第5章 体系结构风险分析111

5.1 安全风险分析方法中的共同主题112

5.2 传统风险分析的术语116

5.3 知识要求118

5.4 森林级视图的必要性119

5.5 一个传统的风险计算的例子122

5.6 传统方法的局限123

5.7 现代风险分析124

5.7.1 安全需求124

5.7.2 一种基本的风险分析方法126

5.8 接触点方法：体系结构风险分析130

5.8.1 攻击抵抗力分析131

5.8.2 不确定性分析133

5.8.3 弱点分析134

5.9 风险分析入门136

5.10 体系结构风险分析是必需的137

第6章 软件渗透测试138

6.1 渗透测试的现状140

6.2 软件渗透测试——一种更好的方法144

6.2.1 使用工具144

6.2.2 进行多次测试147

6.3 在开发过程中应用反馈回来的测试结果148

6.4 利用渗透测试来评估应用程序的状态149

6.5 正确的渗透测试是有益的149

第7章 基于风险的安全测试151

7.1 安全问题为何与众不同154

7.2 风险管理与安全测试155

7.3 如何实现安全测试156

7.3.1 由谁来测试156

7.3.2 如何进行测试157

7.4 考虑恶意的输入164

7.5 摆脱输入165

7.6 与渗透测试一起交替向前推进166

第8章 滥用案例167

8.1 安全并不是一组功能特性170

8.2 你不能做的事情171

8.3 创建有用的滥用案例172

但是根本没有人会这样做！173

8.4 接触点方法：滥用案例开发173

8.4.1 创建反需求175

8.4.2 创建攻击模型176

8.5 一个滥用案例的例子177

8.6 滥用案例很有用处182

第9章 软件安全与安全操作相结合184

9.1 请别站得离我太近185

9.2 软件安全的万全之策186

9.3 立即一起协同工作191

9.4 未来如此光明，我必须戴墨镜了193

第3部分 软件安全的崛起196

第10章 企业级的软件安全计划196

10.1 商业氛围197

10.2 分步进行199

10.3 制订一个改进计划202

10.4 建立一种衡量方法203

一种分三步进行的企业实施方法204

10.5 持续不断地改进205

10.6 商业现货软件（以及现有的软件应用程序）又该怎么办206

一种企业信息体系结构207

10.7 采用一种安全的开发生命周期210

第11章 软件安全知识211

11.1 经验、专业知识与安全213

11.2 安全知识：一种统一的观点214

11.3 安全知识与接触点218

11.4 美国国土安全部的Build Security In门户网站220

11.5 知识管理不断发展223

11.6 现在开始实施软件安全223

第12章 编码错误分类法224

12.1 关于简化：七加二或者减二225

12.1.1 输入确认和表示226

12.1.2 API滥用226

12.1.3 安全特征227

12.1.4 时间和状态227

12.1.5 错误处理227

12.1.6 代码质量228

12.1.7 封装228

12.1.8 环境228

12.2 门229

需要更多门236

12.3 一个完整的例子236

12.4 清单、堆和集合238

12.4.1 对应七界的十九宗罪241

12.4.2 七界问题与OWASP的十大安全漏洞242

12.5 与分类法一起前进并取得成功243

第13章 附说明的参考书目和文献245

13.1 附说明的参考书目：最近发表的作品245

13.1.1 必读资料：最重要的五篇文献245

13.1.2 本书中引用过的参考资料247

13.1.3 引用过的政府出版物和标准出版物258

13.1.4 其他的重要参考资料258

13.2 软件安全的难题264

基础科学：还需继续研究的领域264

第4部分 附录268

附录A Fortify源代码分析套件指南268

A.1 审核工作台简介269

A.2 手工审核源代码271

A.3 确保一个可用的建造环境272

A.4 运行源代码分析引擎274

A.5 研究基本的SCA引擎命令行参数276

A.6 理解原始分析结果278

A.7 集成一种自动建造过程280

A.8 使用Audit Workbench284

A.9 审核开源应用程序286

附录B ITS4规则288

附录C 关于风险分析的练习：Smurfware310

C.1 Smurfware SmurfScanner风险评估案例研究310

C.2 Smurfware SmurfScanner安全设计316

附录D 术语表318

索引320