软件安全 从源头开始【2025|PDF下载-Epub版本|mobi电子书|kindle百度云盘下载】

软件安全 从源头开始PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第1章 引论1

1.1 软件安全的重要性和相关性1

1.2 软件安全和软件开发生命周期4

1.3 代码的质量与安全6

1.4 SDL三个最重要的安全目标6

1.5 威胁建模和攻击面验证7

1.6 本章小结：期望从本书中学到什么8

参考文献8

第2章 安全开发生命周期11

2.1 克服软件安全中的挑战11

2.2 软件安全成熟度模型12

2.3 ISO/IEC 27034：信息技术、安全技术、应用安全13

2.4 其他SDL最佳实践的资源14

2.4.1 SAFECode14

2.4.2 美国国土安全软件保障计划14

2.4.3 美国国家标准与技术研究院15

2.4.4 MITRE公司公共计算机漏洞和暴露16

2.4.5 SANS研究所高级网络安全风险17

2.4.6 美国国防部网络安全与信息系统信息分析中心17

2.4.7 CERT、Bugtraq和SecurityFocus17

2.5 关键工具和人才17

2.5.1 工具18

2.5.2 人才19

2.6 最小特权原则21

2.7 隐私22

2.8 度量标准的重要性22

2.9 把SDL映射到软件开发生命周期24

2.10 软件开发方法28

2.10.1 瀑布开发28

2.10.2 敏捷开发29

2.11 本章小结31

参考文献31

第3章 安全评估（A1）：SDL活动与最佳实践35

3.1 软件安全团队提早参与项目35

3.2 软件安全团队主持发现会议37

3.3 软件安全团队创建SDL项目计划37

3.4 隐私影响评估计划启动38

3.5 安全评估（A1）成功的关键因素和度量标准41

3.5.1 成功的关键因素41

3.5.2 可交付成果43

3.5.3 度量标准44

3.6 本章小结44

参考文献44

第4章 架构（A2）：SDL活动与最佳实践46

4.1 A2策略一致性分析46

4.2 SDL策略评估和范围界定48

4.3 威胁建模/架构安全性分析48

4.3.1 威胁建模48

4.3.2 数据流图50

4.3.3 架构威胁分析和威胁评级53

4.3.4 风险缓解65

4.4 开源选择68

4.5 隐私信息收集和分析69

4.6 成功的关键因素和度量标准69

4.6.1 成功的关键因素69

4.6.2 可交付成果70

4.6.3 度量标准70

4.7 本章小结71

参考文献71

第5章 设计和开发（A3）：SDL活动与最佳实践74

5.1 A3策略一致性分析74

5.2 安全测试计划构成74

5.3 威胁模型更新81

5.4 设计安全性分析和检查81

5.5 隐私实现评估83

5.6 成功的关键因素和度量标准85

5.6.1 成功的关键因素85

5.6.2 可交付成果86

5.6.3 度量标准87

5.7 本章小结88

参考文献88

第6章 设计和开发（A4）：SDL活动与最佳实践90

6.1 A4策略一致性分析90

6.2 安全测试用例执行92

6.3 SDLC/SDL过程中的代码审查94

6.4 安全分析工具97

6.4.1 静态分析99

6.4.2 动态分析101

6.4.3 模糊测试103

6.4.4 人工代码审查104

6.5 成功的关键因素106

6.6 可交付成果107

6.7 度量标准107

6.8 本章小结108

参考文献108

第7章 发布（A5）：SDL活动与最佳实践111

7.1 A5策略一致性分析111

7.2 漏洞扫描113

7.3 渗透测试114

7.4 开源许可审查116

7.5 最终安全性审查117

7.6 最终隐私性审查119

7.7 成功的关键因素120

7.8 可交付成果121

7.9 度量标准122

7.10 本章小结122

参考文献124

第8章 发布后支持（PRSA1～5）125

8.1 合理调整软件安全组125

8.1.1 正确的组织定位125

8.1.2 正确的人127

8.1.3 正确的过程127

8.2 PRSA1：外部漏洞披露响应130

8.2.1 发布后的PSIRT响应130

8.2.2 发布后的隐私响应133

8.2.3 优化发布后的第三方响应133

8.3 PRSA2：第三方审查134

8.4 PRSA3：发布后认证135

8.5 PRSA4：新产品组合或云部署的内部审查135

8.6 PRSA5：安全架构审查和基于工具评估当前、遗留以及并购的产品和解决方案136

8.6.1 遗留代码136

8.6.2 兼并和收购137

8.7 成功的关键因素138

8.8 可交付成果139

8.9 度量标准140

8.10 本章小结140

参考文献140

第9章 将SDL框架应用到现实世界中142

9.1 引言142

9.2 安全地构建软件145

9.2.1 编写安全的代码146

9.2.2 人工代码审查149

9.2.3 静态分析150

9.3 确定每个项目的正确行为153

9.4 架构和设计161

9.5 测试167

9.5.1 功能测试168

9.5.2 动态测试168

9.5.3 攻击和渗透测试171

9.5.4 独立测试172

9.6 敏捷：冲刺172

9.7 成功的关键因素和度量标准175

9.7.1 安全编码培训计划175

9.7.2 安全编码框架（API）175

9.7.3 人工代码审查176

9.7.4 独立代码审查和测试（专家或第三方）176

9.7.5 静态分析176

9.7.6 风险评估法176

9.7.7 SDL和SDLC的集成176

9.7.8 架构人才的发展176

9.8 度量标准177

9.9 本章小结177

参考文献178

第10章 集成：应用SDL防止现实的威胁180

10.1 战略、战术和特定于用户的软件攻击180

10.1.1 战略攻击181

10.1.2 战术攻击182

10.1.3 特定于用户的攻击182

10.2 应用适当设计、管理和集中的SDL克服组织与业务挑战182

10.3 软件安全组织的现状和影响力183

10.4 通过合理的政府管理克服SDL审计和法规挑战183

10.5 软件安全的未来预测184

10.5.1 坏消息184

10.5.2 好消息185

10.6 总结185

参考文献186

附录 关键的成功因素、可交付成果、SDL模型每个阶段的指标189