安全软件开发之道电子书在线阅读-安全软件开发之道构筑软件安全的本质方法PDF下载

安全软件开发之道电子书在线阅读-安全软件开发之道构筑软件安全的本质方法PDF下载

编辑点评:

安全软件开发之道:构筑软件安全的本质方法被誉为安全技术领域的“黄帝内经”,由安全技术大师亲力打造,畅销全球,数位安全技术专家联袂推荐。综合论述如何在软件开发整个生命周期内建立安全屏障,对于设计安全的软件给出了高屋建瓴的指南,全面翔实,深入浅出

安全软件开发之道构筑软件安全的本质方法PDF下载

内容简介

本书分为两大部分。第一部分介绍在编写代码之前应该了解的软件安全知识,讲解如何在软件工程的实践中引入安全性,任何涉及软件开发的人都应该阅读。主要内容包括:软件安全概论、软件安全风险管理、技术的选择、开放源代码和封闭源代码、软件安全的指导原则、软件审计。第二部分涉及软件开发实现的细节,介绍如何在编程中避免一些常见的安全问题,适合编程一线的技术人员参考。主要内容包括:缓冲区溢出、访问控制、竞争条件、随机性和确定性、密码学的应用、信任管理和输入验证、口令认证、数据库安全、客户端安全、穿越防火墙等。

作者简介

John Viega美国著名软件安全技术专家,曾任安全软件解决方案公司(www.securesw.com)CTO。他设计并发布了安全领域内的许多工具,包括代码扫描器(ITS4和RATS)、随机数套件(EGADS)、自动修补工具以及安全编程库等。他还是Mailman的原始开发者、GNU邮件列表的管理者。Gary McGraw美国Cigital公司CTO,在安全风险管理领域从事软件安全性研究和技术规划工作。他是美国空军研究实验室、DARPA、美国国家科学基金以及NIST高级技术项目的资助对象和首席调研员。曾经撰写了多本安全技术图书。殷丽华博士,IEEE会员,现任职于中国科学院信息工程研究所。主持和参加国家973、863、自然科学基金、***安全产品专项等多项***重大项目,具有丰富的软件开发与组织管理经验。研究领域包括网络与信息安全、安全性分析、物联网安全技术等。张冬艳博士,计算机学会会员,任职于北京科技大学计算机与通信工程学院,承担或参与了多项相关领域的重大课题,积累了丰富的项目开发与管理经验。主要研究方向是网络与信息安全、网络多媒体传输等。郭云川博士,曾参与多项***网络与信息安全项目建设,目前主要从事物联网隐私保护研发工作。主要研究方向为安全分析、物联网安全技术、形式化方法等。颜子夜博士,曾参与分布式、嵌入式、高性能计算等类型的多个软件系统的开发工作,目前主要从事医学图像处理研究和大型医疗装备系统的开发工作。

软件安全概论

计算机安全是一个重要的课题。随着经济的发展,网络渗入到我们生活的点点滴滴,安全和隐私越来越重要。计算机安全已经不再仅仅是前沿技术,而开始逐渐影响我们的日常生活。

关于安全问题的讨论可能出现在任何地方,从新闻头条到电视脱口秀,都不足为奇。

由于普通公众对安全知之不多,因此大部分关于计算机安全的讨论都包含在基础的技术话题之中,例如什么是防火墙,什么是密码,哪个防病毒产品更好。大部分计算机安全问题报道的热点话题,通常与难以控制的病毒或者恶意攻击有关。历史上,大众媒体更多关注病毒和拒绝服务攻击,很多人仍然记得库尔尼科娃蠕虫(Anna Kournikova worm)、爱虫(Love Bug)或者梅利莎病毒(Melissa virus ad nauseam)。这些话题无疑是非常重要的。

不过,媒体在报道安全问题时通常没有涉及问题的核心。其实,在每个计算机安全问题背后,在每个恶意攻击背后,都存在一个共同问题-糟糕的软件。

什么是Bugtraq

Bugtraq邮件清单由secrityfocus.com管理,这是一个致力于研究安全问题的电子邮件讨论组。许多安全漏洞最早在Bugtraq里披露(这产生了大量信息),Bugtraq上有效信息含量较低,建议读者在阅读这些信息时加以鉴别。不管怎样,这里通常是安全入侵新闻和相关技术讨论的来源。大量的计算机安全报道使用Bugtraq信息作为原始信息。

Bugtraq最早以“完全披露”出名,这种有争议的方式让安全漏洞公诸于世,从而使厂商能尽快修复这些问题。这种做法是由厂商漠视安全问题的众多案例造成的,厂商往往会认为几乎没有用户会发现这些漏洞,所以拒绝修正。

如果对你而言Bugtraq的有效信息含量太低,那么securityfocus.com网站上会有最新的漏洞信息。

什么是安全

目前为止,我们一直在回避这个经常被问到的问题:什么是安全?对不同的人来说,安全意味着不同的事,甚至对同一个人来说,不同情况下,安全也意味着不同的事。对我们来说,安全可归结为执行描述资源访问规则的策略。如果不希望非授权用户登录系统.但他们登录了,那么就说有一个登录安全被违反了。类似地,如果有人有针对性地执行了一个拒绝服务攻击(DOS),那么他们就违反了访问我们的服务器或者产品的可用性策略。

在许多情况下,并不需要显式的安全策略,因为隐式的安全策略是相当明显且得到广泛认同的。

然而,如果没有定义良好的策略,就难以判断某个事件是否真的破坏安全。一次端口扫描是否是破坏安全?需要采取行动来反击这种“攻击”吗?对这一问题没有统一的答案。尽管对这些灰色地带有广泛的证据表明不够安全,大多数人仍然倾向于使用隐式策略使他们远离这些问题。相较于鉴定某人的某个特定行为是不是一个安全问题来说,我们担心的是事情的后果是否严重,或者对于潜在的问题有什么事情是我们可以做的。

安全软件开发之道构筑软件安全的本质方法PDF下载截图

安全软件开发之道电子书在线阅读-安全软件开发之道构筑软件安全的本质方法PDF下载插图(1)安全软件开发之道电子书在线阅读-安全软件开发之道构筑软件安全的本质方法PDF下载插图(2)安全软件开发之道电子书在线阅读-安全软件开发之道构筑软件安全的本质方法PDF下载插图(3)安全软件开发之道电子书在线阅读-安全软件开发之道构筑软件安全的本质方法PDF下载插图(4)

评分及评论

无用户评分

来评个分数吧

  • 5 分
    0
  • 4 分
    0
  • 3 分
    0
  • 2 分
    0
  • 1 分
    0

Comments