軟件安全：使安全成為軟件開發(fā)必需的部分

定　價：￥49.80

作　者：	（美）麥克勞著，周長發(fā)，馬穎華譯
出版社：	電子工業(yè)出版社
叢編項：	安全技術(shù)大系
標(biāo)　簽：	軟件工程/開發(fā)項目管理

購買這本書可以去

ISBN：	9787121058899	出版時間：	2008-04-01	包裝：	平裝
開本：	16開	頁數(shù)：	332	字?jǐn)?shù)：

內(nèi)容簡介

　　本書是由軟件安全領(lǐng)域的權(quán)威專家編著，講授如何實施軟件安全的專著。本書在論述軟件安全理論的基礎(chǔ)上詳細(xì)講解了如何將軟件安全付諸實踐。書中描述的軟件安全最優(yōu)方法（或者稱為接觸點）以優(yōu)秀的軟件工程方法為基礎(chǔ)，并且在整個軟件開發(fā)生命周期中都明確地仔細(xì)考量安全問題，即認(rèn)識和理解普通的風(fēng)險（包括實現(xiàn)缺陷和體系結(jié)構(gòu)瑕疵）、基于安全進(jìn)行設(shè)計，以及對所有的軟件工件都進(jìn)行徹底、客觀的風(fēng)險分析和測試。本書的目的是使接觸點方法為你所用。采用本書的方法并不會從根本上改變你的工作方式，但是能夠改善現(xiàn)有的軟件開發(fā)生命周期，并能據(jù)此來創(chuàng)建自己的安全的開發(fā)生命周期。本書還介紹了知識管理、培訓(xùn)與認(rèn)知，以及企業(yè)級的軟件安全計劃等方面的內(nèi)容。本書適合與軟件相關(guān)的任何機構(gòu)的管理人員、商業(yè)人員、軟件架構(gòu)人員、軟件開發(fā)人員、軟件測試人員以及安全管理人員閱讀，可以作為大學(xué)、研究機構(gòu)和培訓(xùn)機構(gòu)的計算機安全和軟件安全課程的教材和參考書。

作者簡介

　　Gary McGraw，博士，Cigital公司的首席技術(shù)官和董事會成員。他也是軟件安全領(lǐng)域的世界級權(quán)威，與人合著了5部最暢銷的安全方面的著作：與rootkit.com的Greg Hoglund合著《利用軟件的弱點》（Exploiting Software；Addison-Wesley出版社，2004）；與John Viega合著《建造安全的軟件》（Building Secure Software；Addison-Wesley出版社，2001）；與普林斯頓大學(xué)的Ed Felten教授合著《Java的安全性：有害的小程序、漏洞和解決方法》（Java Security： Hostile Applets，Holes，and Antidotes；Wiley出版社，1996）。

圖書目錄

第1部分軟件安全基礎(chǔ)
　第1章學(xué)科定義
　　1.1 安全問題
　　1.2 軟件中的安全問題
　　1.3 解決問題：軟件安全的三根支柱
　　1.4 安全工程的興起軟件安全人人有責(zé)
　第2章風(fēng)險管理框架
　　2.1 實際應(yīng)用風(fēng)險管理
　　2.2 如何使用本章
　　2.3 活動的五個階段
　　2.4 RMF是一種多重循環(huán)
　　2.5 應(yīng)用RMF：KillerAppCo的iWare 1.0 Server
　　2.6 測量的重要性
　　2.7 Cigital Workbench
　　2.8 風(fēng)險管理是軟件安全的一種框架
第2部分軟件安全的七個接觸點
　第3章軟件安全接觸點簡介
　　3.1 概述：七個極好的接觸點
　　3.2 黑與白：緊密難分地纏繞在一起的兩種思路
　　3.3 向左移動
　　3.4 接觸點是最優(yōu)方法
　　3.5 誰應(yīng)該實施軟件安全建立一個軟件安全組
　　3.6 軟件安全是一種多學(xué)科工作
　　3.7 走向成功的接觸點
　第4章利用工具進(jìn)行代碼審核
　　4.1 （用工具）盡早發(fā)現(xiàn)實現(xiàn)中的缺陷
　　4.2 目標(biāo)是良好，而不是完美
　　4.3 古老的歷史
　　4.4 靜態(tài)分析的方法
　　4.5 進(jìn)行研究的工具
　　4.6 商業(yè)工具供應(yīng)商
　　4.7 接觸點方法：代碼審核
　　4.8 利用工具查找安全缺陷
　第5章體系結(jié)構(gòu)風(fēng)險分析
　　5.1 安全風(fēng)險分析方法中的共同主題
　　5.2 傳統(tǒng)風(fēng)險分析的術(shù)語
　　5.3 知識要求
　　5.4 森林級視圖的必要性
　　5.5 一個傳統(tǒng)的風(fēng)險計算的例子
　　5.6 傳統(tǒng)方法的局限
　　5.7 現(xiàn)代風(fēng)險分析
　　5.8 接觸點方法：體系結(jié)構(gòu)風(fēng)險分析
　　5.9 風(fēng)險分析入門
　　5.10 體系結(jié)構(gòu)風(fēng)險分析是必需的
　第6章軟件滲透測試
　　6.1 滲透測試的現(xiàn)狀
　　6.2 軟件滲透測試——一種更好的方法
　　6.3 在開發(fā)過程中應(yīng)用反饋回來的測試結(jié)果
　　6.4 利用滲透測試來評估應(yīng)用程序的狀態(tài)
　　6.5 正確的滲透測試是有益的
　第7章基于風(fēng)險的安全測試
　　7.1 安全問題為何與眾不同
　　7.2 風(fēng)險管理與安全測試
　　7.3 如何實現(xiàn)安全測試
　　7.4 考慮（惡意的）輸入
　　7.5 擺脫輸入
　　7.6 與滲透測試一起交替向前推進(jìn)
　第8章濫用案例
　　8.1 安全并不是一組功能特性
　　8.2 你不能做的事情
　　8.3 創(chuàng)建有用的濫用案例但是根本沒有人會這樣做！
　　8.4 接觸點方法：濫用案例開發(fā)
　　8.5　一個濫用案例的例子
　　8.6 濫用案例很有用處
　第9章軟件安全與安全操作相結(jié)合
　　9.1 請別站得離我太近
　　9.2 （軟件安全的）萬全之策
　　9.3 （立即）一起協(xié)同工作
　　9.4 未來如此光明，我必須戴墨鏡了
第3部分軟件安全的崛起
　第10章企業(yè)級的軟件安全計劃
　　10.1 商業(yè)氛圍
　　10.2 分步進(jìn)行
　　10.3 制訂一個改進(jìn)計劃
　　10.4 建立一種衡量方法一種分三步進(jìn)行的企業(yè)實施方法
　　10.5 持續(xù)不斷地改進(jìn)
　　10.6 商業(yè)現(xiàn)貨軟件（以及現(xiàn)有的軟件應(yīng)用程序）又該怎么辦一種企業(yè)信息體系結(jié)構(gòu)
　　10.7 采用一種安全的開發(fā)生命周期
　第11章軟件安全知識
　　11.1 經(jīng)驗、專業(yè)知識與安全
　　11.2 安全知識：一種統(tǒng)一的觀點
　　11.3 安全知識與接觸點
　　11.4 美國國土安全部的Build Security In門戶網(wǎng)站
　　11.5 知識管理不斷發(fā)展
　　11.6 現(xiàn)在開始實施軟件安全
　第12章編碼錯誤分類法
　　12.1 關(guān)于簡化：七加二或者減二
　　12.2 門需要更多門
　　12.3 一個完整的例子
　　12.4 清單、堆和集合
　　12.5 （與分類法一起）前進(jìn)并取得成功
　第13章附說明的參考書目和文獻(xiàn)
　　13.1 附說明的參考書目：最近發(fā)表的作品
　　13.2 軟件安全的難題基礎(chǔ)科學(xué)：還需繼續(xù)研究的領(lǐng)域
第4部分附錄
　附錄A Fortify源代碼分析套件指南
　　A.1 審核工作臺簡介
　　A.2 手工審核源代碼
　　A.3 確保一個可用的建造環(huán)境
　　A.4 運行源代碼分析引擎
　　A.5 研究基本的SCA引擎命令行參數(shù)
　　A.6 理解原始分析結(jié)果
　　A.7 集成一種自動建造過程
　　A.8 使用Audit Workbench
　　A.9 審核開源應(yīng)用程序
　附錄B ITS4規(guī)則
　附錄C 關(guān)于風(fēng)險分析的練習(xí)：Smurfware
　　C.1 Smurfware SmurfScanner風(fēng)險評估案例研究
　　C.2 Smurfware SmurfScanner安全設(shè)計
　附錄D 術(shù)語表
索引