安全软件开发之道构筑软件安全的本质方法PDF下载|百度网盘下载

编辑评论：

安全软件开发之道：打造软件安全的精髓 被誉为安全技术领域的“黄帝内经”，由安全技术大师打造，畅销全国全世界。推荐。全面探讨如何在软件开发的全生命周期建立安全屏障，给出安全软件设计的高层次指导，全面详细，深入浅出

简介

本书分为两部分。第一部分介绍了在编写代码之前您应该了解的关于软件安全的知识，解释了如何将安全引入到软件工程的实践中，任何参与软件开发的人都应该阅读。主要内容包括：软件安全概论、软件安全风险管理、技术选型、开源与闭源代码、软件安全指南、软件审计。第二部分涉及软件开发和实现的细节，介绍了如何避免编程中一些常见的安全问题。主要内容包括：缓冲区溢出、访问控制、竞争条件、随机性和确定性、密码学​​的应用、信任管理和输入验证、密码认证、数据库安全、客户端安全、防火墙穿越等。

关于作者

John Viega，美国知名软件安全技术专家，曾任 Secure Software Solutions (www.securesw.com) 的 CTO。他在安全领域设计并发布了许多工具，包括代码扫描器（ITS4 和 RATS）、随机数套件 (EGADS)、自动修补工具和安全编程库。他也是 Mailman 的原始开发者和 GNU 邮件列表的管理员。 Gary McGraw，美国 Cigital 的 CTO，从事安全风险管理领域的软件安全研究和技术规划。他是空军研究实验室、DARPA、国家科学基金会和 NIST 先进技术计划的受赠人和首席研究员。他写了几本安全技术书籍。尹丽华博士，IEEE会员，目前在中国科学院信息工程研究所工作。主持和参与了国家973、863、自然科学基金、国家安全产品专项等多项重大项目，具有丰富的软件开发和组织管理经验。研究领域包括网络与信息安全、安全分析、物联网安全技术等。张东彦博士，计算机学会会员，就职于北京科技大学计算机与通信工程学院。在相关领域承担或参与了多项重大项目，积累了丰富的项目开发和管理经验。主要研究方向为网络与信息安全、网络多媒体传输等。郭云川博士参与了多项高科技网络与信息安全项目的建设。目前主要从事物联网隐私保护的研发工作。主要研究方向为安全分析、物联网安全技术、形式化方法。闫子野博士曾参与分布式、嵌入式、高性能计算等多个软件系统的开发。目前主要从事医学图像处理研究和大型医疗设备系统开发。

软件安全简介

计算机安全是一个重要的话题。随着经济的发展和互联网渗透到我们生活的方方面面，安全和隐私变得越来越重要。计算机安全不再只是一项尖端技术，而是逐渐影响我们的日常生活。

从新闻头条到电视脱口秀节目，关于安全问题的讨论无处不在，这并不奇怪。

由于公众对安全性知之甚少，因此大多数关于计算机安全的讨论都包含在基本技术主题中，例如什么是防火墙、什么是密码以及哪种防病毒产品更好。大多数关于计算机安全问题的热点报道通常与无法控制的病毒或恶意攻击有关。从历史上看，大众媒体更多地关注病毒和拒绝服务攻击，许多人仍然记得 Anna Kournikova 蠕虫、Love Bug 或 Melissa 病毒令人作呕。这些话题无疑是非常重要的。

但是，媒体对安全问题的报道往往未能触及问题的核心。事实上，每一个计算机安全问题的背后，每一个恶意攻击的背后，都有一个共同的问题——坏软件。

什么是 Bugtraq

Bugtraq 邮件列表由 securityfocus.com 管理，这是一个专门研究安全问题的电子邮件讨论组。 Bugtraq 中首次披露了很多安全漏洞（产生了大量信息），Bugtraq 上的有效信息量较低，建议读者在阅读这些信息时进行识别。无论如何，这通常是安全漏洞新闻和相关技术讨论的来源。大量计算机安全报告使用 Bugtraq 信息作为来源信息。

Bugtraq 最初以“全面披露”而闻名，这是一种有争议的方式，可以将安全漏洞公之于众，让制造商能够尽快修复这些漏洞。这种做法是由大量供应商无视安全问题引起的，供应商倾向于拒绝修复这些漏洞，认为很少有用户会发现它们。

如果 Bugtraq 的有用信息内容对您来说太少，可以在 securityfocus.com 上获得最新的漏洞信息。

什么是安全

到目前为止，我们一直在回避这个常见问题：什么是安全性？安全对不同的人意味着不同的东西，甚至对同一个人来说，安全在不同的情况下也意味着不同的东西。对我们来说，安全归结为执行描述访问资源规则的策略。如果未经授权的用户不希望登录到系统，但他们确实登录了，那么就说违反了登录安全性。同样，如果有人执行有针对性的拒绝服务攻击 (DOS)，他们就违反了访问我们服务器或产品的可用性策略。

在许多情况下，不需要显式安全策略，因为隐式安全策略相当明显且被广泛认可。

但是，如果没有明确定义的策略，就很难判断事件是否真的违反了安全性。端口扫描是否违反安全规定？是否需要采取行动来应对这种“攻击”？这个问题没有统一的答案。尽管有大量证据表明这些灰色区域存在不安全感，但大多数人仍然倾向于使用隐含策略来使他们远离这些问题。与其确定某人的特定行为是否是安全问题，我们还担心某事的后果是否严重，或者我们是否可以对潜在问题采取一些措施。