万本电子书0元读

万本电子书0元读

顶部广告

安全软件开发之道——构筑软件安全的本质方法电子书

  本书被誉为安全技术领域的“黄帝内经”,由安全技术大师亲力造,畅销全球,数位安全技术专家联袂推荐。    综合论述如何在软件发整个生命周期内建立安全屏障,对于设计安全的软件给出了高屋建瓴的指导,全面翔实,深浅出。对于任何关注安全软件发的人来说,都是一本***之书。 

售       价:¥

纸质售价:¥59.20购买纸书

0人正在读 | 0人评论 6.4

作       者:(美)John Viega, Gary Mcgraw

出  版  社:机械工业出版社

出版时间:2014-03-20

字       数:28.3万

所属分类: 科技 > 计算机/网络 > 程序设计

温馨提示:数字商品不支持退换货,不提供源文件,不支持导出打印

为你推荐

  • 读书简介
  • 目录
  • 累计评论(0条)
  • 读书简介
  • 目录
  • 累计评论(0条)
本书被誉为安全技术领域的“黄帝内经”,由安全技术大师亲力造,畅销全球,数位安全技术专家联袂推荐。综合论述如何在软件发整个生命周期内建立安全屏障,对于设计安全的软件给出了高屋建瓴的指南,全面翔实,深浅出。对于任何关注安全软件发的人来说,都是一本***之书。 本书分为两大部分。部分介绍在编写代码之前应该了解的软件安全知识,讲解如何在软件工程的实践中引安全性,任何涉及软件发的人都应该阅读。主要内容包括:软件安全概论、软件安全风险管理、技术的选择、放源代码和封闭源代码、软件安全的指导原则、软件审计。第二部分涉及软件发实现的细节,介绍如何在编程中避免一些常见的安全问题,适合编程一线的技术人员参考。主要内容包括:缓冲区溢出、访问控制、竞争条件、*性和确定性、密码学的应用、信任管理和输验证、口令认证、数据库安全、客户端安全、穿越防火墙等。<br/>【推荐语】<br/>本书被誉为安全技术领域的“黄帝内经”,由安全技术大师亲力造,畅销全球,数位安全技术专家联袂推荐。  综合论述如何在软件发整个生命周期内建立安全屏障,对于设计安全的软件给出了高屋建瓴的指导,全面翔实,深浅出。对于任何关注安全软件发的人来说,都是一本***之书。 <br/>【作者】<br/>John Viega 美国著名软件安全技术专家,曾任安全软件解决方案公司(www.securesw.com)CTO。他设计并发布了安全领域内的许多工具,包括代码扫描器(ITS4和RATS)、*数套件(EGADS)、自动修补工具以及安全编程库等。他还是Mailman的原始发者、GNU邮件列表的管理者。 Gary McGraw 美国Cigital公司CTO,在安全风险管理领域从事软件安全性研究和技术规划工作。他是美国空军研究实验室、DARPA、美国国家科学基金以及NIST高级技术项目的资助对象和首席调研员。曾经撰写了多本安全技术图书。 译者简介 殷丽华 博士,IEEE会员,现任职于中国科学院信息工程研究所。主持和参加国家973、863、自然科学基金、发改委安全产品专项等多项*重大项目,具有丰富的软件发与组织管理经验。研究领域包括网络与信息安全、安全性分析、物联网安全技术等。 张冬艳 博士,计算机学会会员,任职于北京科技大学计算机与通信工程学院,承担或参与了多项相关领域的重大课题,积累了丰富的项目发与管理经验。主要研究方向是网络与信息安全、网络多媒体传输等。 郭云川 博士,曾参与多项*网络与信息安全项目建设,目前主要从事物联网隐私保护研发工作。主要研究方向为安全分析、物联网安全技术、形式化方法等。 颜子夜 博士,曾参与分布式、嵌式、高性能计算等类型的多个软件系统的发工作,目前主要从事医学图像处理研究和大型医疗装备系统的发工作。<br/>
目录展开

译者序

对本书的赞誉

前言

致谢

第1章软件安全概论

1.1 都是软件惹的祸

1.2 对安全问题的处理

1.3 影响软件安全的技术趋势

1.4 非功能性需求

1.5 “渗透–修补”是个坏方法

1.6 艺术和工程

1.7 安全目标

1.8 常见软件安全缺陷

1.9 软件项目目标

1.10 结论

第2章软件安全风险管理

2.1 软件安全风险管理概述

2.2 安全人员的任务

2.3 软件生命周期中的软件安全人员

2.4 现实的权衡

2.5 让人们去思考安全性

2.6 软件风险管理实践

2.7 通用准则

2.8 结论

第3章技术的选择

3.1 语言的选择

3.2 分布式对象平台的选择

3.3 操作系统的选择

3.4 认证技术

3.5 结论

第4章开放源代码和封闭源代码

4.1 通过隐藏实现安全

4.2 开源软件

4.3 “多眼球现象”是真的吗

4.4 关于发布加密算法

4.5 另外两个关于开源的谬论

4.6 例子:GNU Mailman的安全

4.7 证据:特洛伊木马

4.8 开放源码还是不开放源码

4.9 另一个来自于缓冲区溢出的安全教训

4.10 忠告

4.11 结论

第5章软件安全的指导原则

5.1 确保最薄弱环节的安全

5.2 深度防御

5.3 失效安全

5.4 最小特权

5.5 分割

5.6 尽可能简单

5.7 提升隐私权

5.8 记住隐藏信息很困难

5.9 不要轻信

5.10 使用社会资源

5.11 结论

第6章软件审计

6.1 架构的安全性分析

6.2 实现安全性分析

6.3 结论

第7章缓冲区溢出

7.1 什么是缓冲区溢出

7.2 为什么缓冲溢出是安全问题

7.3 缓冲区溢出的防御

7.4 主要的陷阱

7.5 内部缓冲区溢出

7.6 更多的输入溢出

7.7 其他风险

7.8 帮助工具

7.9 堆破坏和栈破坏

7.10 堆溢出

7.11 栈溢出

7.12 代码攻击

7.13 结论

第8章访问控制

8.1 UNIX访问控制模型

8.2 Windows NT的访问控制

8.3 分割

8.4 细粒度权限

8.5 结论

第9章竞争条件

9.1 什么是竞争条件

9.2 检查时间与使用时间

9.3 安全的文件访问

9.4 临时文件

9.5 文件锁定

9.6 其他竞争条件

9.7 结论

第10章随机性和确定性

10.1 伪随机数发生器

10.2 熵的收集和估计

10.3 处理熵

10.4 实用的随机数据来源

10.5 结论

第11章密码学的应用

11.1 一般性建议

11.2 常用密码库

11.3 利用密码学编程

11.4 加密散列更多的应用

11.5 SSL和TLS

11.6 Stunnel

11.7 一次一密

11.8 结论

第12章信任管理和输入验证

12.1 关于信任

12.2 不恰当信任的例子

12.3 自动检测输入问题

12.4 结论

第13章口令认证

13.1 口令存储

13.2 向口令数据库中添加用户

13.3 口令认证的方式

13.4 口令选择

13.5 一次性口令

13.6 结论

第14章数据库安全

14.1 基础知识

14.2 访问控制

14.3 在访问控制中使用视图

14.4 字段保护

14.5 针对统计攻击的安全防卫

14.6 结论

第15章客户端安全

15.1 版权保护方案

15.2 防篡改

15.3 代码混淆

15.4 结论

第16章穿越防火墙

16.1 基本策略

16.2 客户端代理

16.3 服务器代理

16.4 SOCKS

16.5 对等网络

16.6 结论

附录A 密码学基础

参考文献

累计评论(0条) 0个书友正在讨论这本书 发表评论

发表评论

发表评论,分享你的想法吧!

买过这本书的人还买过

读了这本书的人还在读

回顶部