軟體安全工程

《軟體安全工程》作者是(美國)(Allen.J.H.)艾倫等。全書系統闡述了軟體安全工程的知識。通過《軟體安全工程》,你能找到一些可靠的實例,這些實例有助於提高軟體在開發和運行過程中的安全性和可信度。

基本信息

內容簡介

《軟體安全工程》具體內容包括:軟體安全的構成、安全軟體的需求、安全軟

軟體安全工程

件的架構和設計、安全編碼和測試、系統集成、安全管理,等等。《軟體安全工程》從軟體開發和漏洞攻擊兩個角度,以對立的觀點深刻闡述了構建軟體安全的最佳實踐。同時,《軟體安全工程》不遺餘力提高閱讀的針對性,對高級經理、項目經理和技術管理人員的適用要點,各有強調論述。《軟體安全工程》適合作為從事軟體開發、軟體測試、軟體安全及軟體丁程管理的技術人員的參考用書。與其他軟體相比,遵循安全理念開發的軟體可以更為有效地抵禦、容忍攻擊並從攻擊中恢復。儘管並不存在軟體安全的萬能解決方案,但是項目經理可以從中獲益的實例還是存在的。

作者簡介

Julia H. Allen,曾獲得密西根大學的計算機科學學士學位和南加利福尼亞大學的電子工程碩士學位,目前是SEI的CERT項目的高級研究員。

艾倫,曾獲得密西根大學的計算機科學學士學位和南加利福尼亞大學的電子工程碩士學位,目前是SEI的CERT項目的高級研究員。

媒體推薦

“這本書的系統論述可以為一些組織提供幫助,使它們能夠選擇一組符合其安全成熟性,抗風險能力和開發風格的工序,策略或技術;可以幫助你理解如何將實用的安全技術納入到開發周期的各個階段之中。”

——微軟高級安全專家 Steve Riley

“有一些書討論了本書中的某些問題,也有一些書論述了安全系統工程;但卻很少像本書一樣,通俗易懂地描述和討論關子整個軟體開發周期的最新動態和主題。”

——Harrls高級軟體安全專家 Ronda Henning

編輯推薦

《軟體安全工程》會幫助你理解:軟體安全不僅僅是消滅漏洞和執行入侵檢測。

網路安全機制以及IT基礎安全服務並不能充分保障套用軟體免受安全隱患的威脅。

軟體安全的主動行為必須伴隨一種危險控制的方法,從而識別優先權以及定義什麼才是“足夠好的”——對軟體安全危險的理解隨著軟體開發生命周期而不斷改變。

項目經理和軟體工程師需要學會以攻擊者的方式來思考,從而指出軟體不能運行的功能範圍,以及軟體如何更好地抵禦、容忍攻擊並從攻擊中恢復。

軟體項目經理必備指南,將軟體安全解決方案引入到軟體開發生命周期之中。

目錄

譯者序

前言

第1章 為什麼安全是軟體的問題

1.1 概述

1.2 問題

系統複雜性:軟體與背景並存

1.3 軟體保證和軟體安全

工序和條例在軟體安全中的作用

1.4 軟體安全的威脅

1.5 軟體不安全的來源

1.6 早期檢測軟體安全漏洞的好處

為軟體安全設計案例:當前狀態

1.7 軟體安全開發管理

1.7.1 我該提出哪些安全策略問題

1.7.2 軟體安全的風險管理框架

1.7.3 開發周期中的軟體安全條例

1.8 小結

第2章 安全軟體的構成

2.1 概述

2.2 定義安全軟體的屬性

2.2.1 安全軟體的核心屬性

2.2.2 安全軟體的相關屬性

2.3 如何改善軟體的安全屬性

2.3.1 防禦者視角

2.3.2 攻擊者視角

2.4 如何確定所需的安全屬性

2.4.1 構建安全保證案

2.4.2 安全保證案例的例子

2.4.3 將保證案例融入到軟體開發周期中

2.4.4 其他安全保證相關和合法的工作

2.4.5 維持保證案例並從中獲益

2.5 小結

第3章 安全軟體的需求工程

3.1 概述

3.1.1 需求工程的重要性

3.1.2 質量需求

3.1.3 安全需求工程

3.2 誤用和濫用案例

3.2.1 安全不是一套功能

3.2.2 想想你不能做什麼

3.2.3 構建有用的誤用案例

3.2.4 一個誤用的例子

3.3 SQUARE過程模型

3.3.1 SQUARE的簡單描述

3.3.2 工具

3.3.3 預期結果

3.4 SQUARE樣本輸出

3.4.1 SQUARE各個步驟的輸出

3.4.2 SQUARE的最終結果

3.5 需求啟發

3.5.1 各種啟發式方法概覽

3.5.2 啟發評估標準

3.6 需求排序

3.6.1 確定候選的排序方法

3.6.2 排序方法的比較

3.6.3 需求排序的一些建議

3.7 小結

第4章 軟體安全的架構和設計

4.1 概述

4.1.1 架構和設計的重要性

4.1.2 問題和挑戰

4.2 軟體架構和設計安全條例:架構風險分析

4.2.1 軟體特性描述

4.2.2威脅分析

4.2.3 架構性漏洞評估

4.2.4 確定風險可能性

4.2.5 確定風險影響

4.2.6 風險降低計畫

4.2.7 架構風險分析簡要回顧

4.3 架構和設計的軟體安全知識:安全原則、安全方針和攻擊模式

4.3.1 安全原則

4.3.2 安全方針

4.3.3 攻擊模式

4.4 小結

第5章 安全編碼和測試

5.1 概述

5.2 代碼分析

5.2.1 常見軟體編碼漏洞

5.2.2 源碼審查

5.3 編碼條例安全編碼的附加信息

5.4 軟體安全測試

5.4.1 比較軟體測試和軟體安全測試

5.4.2 功能測試

5.4.3 基於風險的測試

5.5 軟體開發前後考慮安全測試

5.5.1 單元測試

5.5.2 測試庫檔案和執行檔

5.5.3 集成測試

5.5.4 系統測試

5.5.5 軟體安全測試的附屬檔案信息來源

5.6 小結

第6章 安全性和複雜性:系統集成的挑戰

6.1 概述

6.2 安全故障

6.2.1 錯誤分類

6.2.2 攻擊者行為

6.3 從功能和攻擊者視角看安全分析:兩個例子

6.3.1 Web服務:功能視角

6.3.2 Web服務:攻擊者視角

6.3.3 身份管理:功能視角

6.3.4 身份管理:攻擊者視角

6.3.5 身份管理和軟體開發

6.4 系統複雜性驅動和安全

6.4.1 更廣泛的故障

6.4.2 增量式開發和漸進式開發

6.4.3 衝突或目標改變的複雜性

6.5 深層技術問題的複雜性

6.6 小結...

相關詞條

相關搜尋

熱門詞條

聯絡我們