版權資訊
書名:安全編程代碼靜態分析作 者:(美國)BrianChess(美國)JacobWest
出版社:機械工業出版社
安全編程代碼靜態分析出版時間:2008
ISBN:9787111233213
開本:16
定價:56.00元
內容簡介
創建安全的代碼,僅有好的意圖是遠遠不夠的。程式設計師要知道:他們的代碼幾乎需要在各種使用環境和各種配置之下都是安全的。靜態原始碼分析為用戶提供了使用優秀的工具來審查其工作的能力,從而找出各類可直接導致安全漏洞的錯誤。現在,本書提供了一份關於靜態分析的完整指導:如何進行靜態分析,如何將其集成到軟體開發過程以及如何在代碼安全審查期間最大化其功效等。靜態分析專家BrianChess和JacobWest探討了當前最為常見的安全缺陷類型。他們使用來自實際安全事件的Java和C代碼實例闡明了:如何發現編碼錯誤,如何防止出現編碼錯誤以及如何通過靜態分析來快速找出類似的錯誤。本書讀者對象是所有關注構建更加安全的軟體的人:軟體開發人員、軟體安全工程師、軟體分析師以及軟體測試人員。
本書內容包括:
■為什麼常規的Bug捕獲技術經常找不出安全問題。
■怎樣才能通過靜態分析幫助程式設計師做好安全工作。
■決定一個靜態分析工具成敗的關鍵屬性和算法。
■提高代碼靜態分析效率的36種技術。
■70多種嚴重安全漏洞及其詳細解決方案。
■來自FireFox、OpenSSH、MySpace、eTrade、Apachehttpd以及其他
■更多軟體的漏洞實例。
■處理非可信輸入的技術。
■消除緩衝區溢出的戰術和戰略方法。
■避免出現Web應用程式、Web服務以及Ajax相關的錯誤。
■關注安全的日誌技術、調試技術以及錯誤/異常處理技術。
■秘密和機密信息的創建、維護和共享。
■帶你穿越靜態分析的詳盡過程。
作者簡介
第一部分軟體安全和靜態分析第1章軟體安全問題1
1.1僅有防禦性編程還不夠1
1.2安全功能≠安全的功能3
1.3質量的誤區4
1.4軟體開發全局中的靜態分析6
1.5漏洞分類7
1.5.17種有害的領域9
1.5.2“7種有害的領域”與“OWASP前10名”11
1.6小結11
第2章靜態分析簡介12
第3章作為代碼審查過程組成部分的靜態分析29
第4章靜態分析技術內幕45
第二部分常見問題
第5章處理輸入75
第6章緩衝區溢出113
第7章緩衝區溢出伴隨的問題152
第8章錯誤和異常171
第三部分特性與特色
第9章Web應用程式191
第10章XML與Web服務224
第11章隱私與秘密243
第12章具有特權的程式270
第四部分靜態分析實踐
第13章Java語言原始碼分析練習293
第14章C語言原始碼分析練習324
參考文獻351
……[看更多目錄]
目錄
譯者序序
前言
作者簡介
第一部分軟體安全和靜態分析
第1章軟體安全問題1
1.1僅有防禦性編程還不夠1
1.2安全功能≠安全的功能3
1.3質量的誤區4
1.4軟體開發全局中的靜態分析6
1.5漏洞分類7
1.5.17種有害的領域9
1.5.2“7種有害的領域”與“OWASP前10名”11
1.6小結11
第2章靜態分析簡介12
第3章作為代碼審查過程組成部分的靜態分析29
第4章靜態分析技術內幕45
第二部分常見問題
第5章處理輸入75
第6章緩衝區溢出113
第7章緩衝區溢出伴隨的問題152
第8章錯誤和異常171
第三部分特性與特色
第9章Web應用程式191
第10章XML與Web服務224
第11章隱私與秘密243
第12章具有特權的程式270
第四部分靜態分析實踐
第13章Java語言原始碼分析練習293
第14章C語言原始碼分析練習324
參考文獻351
……
