軟件安全：使安全成為軟件開(kāi)發(fā)必需的部分

第1部分 軟件安全基礎(chǔ)
　第1章 學(xué)科定義
　　1.1 安全問(wèn)題
　　1.2 軟件中的安全問(wèn)題
　　1.3 解決問(wèn)題：軟件安全的三根支柱
　　1.4 安全工程的興起軟件安全人人有責(zé)
　第2章 風(fēng)險(xiǎn)管理框架
　　2.1 實(shí)際應(yīng)用風(fēng)險(xiǎn)管理
　　2.2 如何使用本章
　　2.3 活動(dòng)的五個(gè)階段
　　2.4 RMF是一種多重循環(huán)
　　2.5 應(yīng)用RMF：KillerAppCo的iWare 1.0 Server
　　2.6 測(cè)量的重要性
　　2.7 Cigital Workbench
　　2.8 風(fēng)險(xiǎn)管理是軟件安全的一種框架
第2部分 軟件安全的七個(gè)接觸點(diǎn)
　第3章 軟件安全接觸點(diǎn)簡(jiǎn)介
　　3.1 概述：七個(gè)極好的接觸點(diǎn)
　　3.2 黑與白：緊密難分地纏繞在一起的兩種思路
　　3.3 向左移動(dòng)
　　3.4 接觸點(diǎn)是最優(yōu)方法
　　3.5 誰(shuí)應(yīng)該實(shí)施軟件安全建立一個(gè)軟件安全組
　　3.6 軟件安全是一種多學(xué)科工作
　　3.7 走向成功的接觸點(diǎn)
　第4章 利用工具進(jìn)行代碼審核
　　4.1 （用工具）盡早發(fā)現(xiàn)實(shí)現(xiàn)中的缺陷
　　4.2 目標(biāo)是良好，而不是完美
　　4.3 古老的歷史
　　4.4 靜態(tài)分析的方法
　　4.5 進(jìn)行研究的工具
　　4.6 商業(yè)工具供應(yīng)商
　　4.7 接觸點(diǎn)方法：代碼審核
　　4.8 利用工具查找安全缺陷
　第5章 體系結(jié)構(gòu)風(fēng)險(xiǎn)分析
　　5.1 安全風(fēng)險(xiǎn)分析方法中的共同主題
　　5.2 傳統(tǒng)風(fēng)險(xiǎn)分析的術(shù)語(yǔ)
　　5.3 知識(shí)要求
　　5.4 森林級(jí)視圖的必要性
　　5.5 一個(gè)傳統(tǒng)的風(fēng)險(xiǎn)計(jì)算的例子
　　5.6 傳統(tǒng)方法的局限
　　5.7 現(xiàn)代風(fēng)險(xiǎn)分析
　　5.8 接觸點(diǎn)方法：體系結(jié)構(gòu)風(fēng)險(xiǎn)分析
　　5.9 風(fēng)險(xiǎn)分析入門(mén)
　　5.10 體系結(jié)構(gòu)風(fēng)險(xiǎn)分析是必需的
　第6章 軟件滲透測(cè)試
　　6.1 滲透測(cè)試的現(xiàn)狀
　　6.2 軟件滲透測(cè)試——一種更好的方法
　　6.3 在開(kāi)發(fā)過(guò)程中應(yīng)用反饋回來(lái)的測(cè)試結(jié)果
　　6.4 利用滲透測(cè)試來(lái)評(píng)估應(yīng)用程序的狀態(tài)
　　6.5 正確的滲透測(cè)試是有益的
　第7章 基于風(fēng)險(xiǎn)的安全測(cè)試
　　7.1 安全問(wèn)題為何與眾不同
　　7.2 風(fēng)險(xiǎn)管理與安全測(cè)試
　　7.3 如何實(shí)現(xiàn)安全測(cè)試
　　7.4 考慮（惡意的）輸入
　　7.5 擺脫輸入
　　7.6 與滲透測(cè)試一起交替向前推進(jìn)
　第8章 濫用案例
　　8.1 安全并不是一組功能特性
　　8.2 你不能做的事情
　　8.3 創(chuàng)建有用的濫用案例但是根本沒(méi)有人會(huì)這樣做！
　　8.4 接觸點(diǎn)方法：濫用案例開(kāi)發(fā)
　　8.5　一個(gè)濫用案例的例子
　　8.6 濫用案例很有用處
　第9章 軟件安全與安全操作相結(jié)合
　　9.1 請(qǐng)別站得離我太近
　　9.2 （軟件安全的）萬(wàn)全之策
　　9.3 （立即）一起協(xié)同工作
　　9.4 未來(lái)如此光明，我必須戴墨鏡了
第3部分 軟件安全的崛起
　第10章 企業(yè)級(jí)的軟件安全計(jì)劃
　　10.1 商業(yè)氛圍
　　10.2 分步進(jìn)行
　　10.3 制訂一個(gè)改進(jìn)計(jì)劃
　　10.4 建立一種衡量方法一種分三步進(jìn)行的企業(yè)實(shí)施方法
　　10.5 持續(xù)不斷地改進(jìn)
　　10.6 商業(yè)現(xiàn)貨軟件（以及現(xiàn)有的軟件應(yīng)用程序）又該怎么辦一種企業(yè)信息體系結(jié)構(gòu)
　　10.7 采用一種安全的開(kāi)發(fā)生命周期
　第11章 軟件安全知識(shí)
　　11.1 經(jīng)驗(yàn)、專(zhuān)業(yè)知識(shí)與安全
　　11.2 安全知識(shí)：一種統(tǒng)一的觀點(diǎn)
　　11.3 安全知識(shí)與接觸點(diǎn)
　　11.4 美國(guó)國(guó)土安全部的Build Security In門(mén)戶網(wǎng)站
　　11.5 知識(shí)管理不斷發(fā)展
　　11.6 現(xiàn)在開(kāi)始實(shí)施軟件安全
　第12章 編碼錯(cuò)誤分類(lèi)法
　　12.1 關(guān)于簡(jiǎn)化：七加二或者減二
　　12.2 門(mén)需要更多門(mén)
　　12.3 一個(gè)完整的例子
　　12.4 清單、堆和集合
　　12.5 （與分類(lèi)法一起）前進(jìn)并取得成功
　第13章 附說(shuō)明的參考書(shū)目和文獻(xiàn)
　　13.1 附說(shuō)明的參考書(shū)目：最近發(fā)表的作品
　　13.2 軟件安全的難題基礎(chǔ)科學(xué)：還需繼續(xù)研究的領(lǐng)域
第4部分 附錄
　附錄A Fortify源代碼分析套件指南
　　A.1 審核工作臺(tái)簡(jiǎn)介
　　A.2 手工審核源代碼
　　A.3 確保一個(gè)可用的建造環(huán)境
　　A.4 運(yùn)行源代碼分析引擎
　　A.5 研究基本的SCA引擎命令行參數(shù)
　　A.6 理解原始分析結(jié)果
　　A.7 集成一種自動(dòng)建造過(guò)程
　　A.8 使用Audit Workbench
　　A.9 審核開(kāi)源應(yīng)用程序
　附錄B ITS4規(guī)則
　附錄C 關(guān)于風(fēng)險(xiǎn)分析的練習(xí)：Smurfware
　　C.1 Smurfware SmurfScanner風(fēng)險(xiǎn)評(píng)估案例研究
　　C.2 Smurfware SmurfScanner安全設(shè)計(jì)
　附錄D 術(shù)語(yǔ)表
索引