在日益严峻的信息安全背景下,软件的安全性已经成为信息安全问题的重中之重。本书针对信息安全领域这一核心问题,站在软件开发过程控制的视角,从系统工程基本理论思想出发,借鉴当前国际先进的软件安全开发的理论和方法,提出安全属性驱动的软件开发方法。全书以软件安全属性为核心,将安全属性贯穿于软件开发生命周期的每一个阶段,通过对软件开发生命周期全过程的安全质量管理和控制,以期减少开发过程中可能产生的各种漏洞,提高软件产品的本质安全性。
全书共分为6章,第1章是软件安全开发相关的基本概念,第2章介绍了软件安全开发方法的历史演化进程以及一些典型的软件安全开发模型,第3章基于需求工程原理阐述了软件安全属性需求获取方法,第4章从系统架构角度出发阐述了软件安全架构的设计方法以及相关安全技术,第5章介绍了软件开发编码过程中的安全问题,第6章对于软件安全性测试进行了全面的阐述。
本书的特点是既注重系统性和科学性,又注重实用性,系统性地介绍软件开发生命周期全过程的安全质量保证方法,可作为软件开发组织者、系统分析师、软件架构师、软件设计人员、开发人员、测试人员、系统运维人员以及软件相关专业的在校大学生和研究生学习与实践的较好的参考书。
在日益严峻的信息安全背景下,软件的安全性已经成为信息安全问题的重中之重。《软件安全开发:属性驱动模式》针对信息安全领域这一核心问题,站在软件开发过程控制的视角,从系统工程基本理论思想出发,借鉴当前国际先进的软件安全开发的理论和方法,提出安全属性驱动的软件开发方法。
《软件安全开发:属性驱动模式》的特点是既注重系统性和科学性,又注重实用性,系统性地介绍软件开发生命周期全过程的安全质量保证方法,可作为软件开发组织者、系统分析师、软件架构师、软件设计人员、开发人员、测试人员、系统运维人员以及软件相关专业的在校大学生和研究生学习与实践的较好的参考书。
内容简介
作者简介
其他
本书的章节设置
序言
第1章 理解软件安全开发
1.1 信息安全面临的困境
1.2 软件安全基本概念
1.3 软件安全属性刻画
1.4 信息产品的安全性评估标准
1.5 系统安全工程
1.6 系统安全工程能力成熟度模型
1.7 属性驱动的软件安全开发的基本思想
1.8 本章小结
第2章 将安全嵌入软件开发整个生命周期
2.1 系统安全开发方法的进化史
2.2 软件安全开发模型
2.3 微软的SDL模型
2.4 McGraw的软件安全开发模型
2.5 OWASP的软件安全开发模型
2.6 NIST的软件安全开发生命周期模型
2.7 属性驱动的软件安全开发生命周期模型
2.8 本章小结
第3章 软件安全需求分析
3.1 概述
3.2 核心软件安全需求
3.3 通用软件安全需求
3.4 运维安全需求
3.5 其他安全需求
3.6 软件安全需求获取方法
3.7 软件安全需求跟踪矩阵
3.8 本章小结
第4章 软件安全保障设计
4.1 概述
4.2 属性驱动的软件安全设计
4.3 软件安全架构设计
4.4 基于核心安全需求的软件安全设计
4.5 其他安全需求设计
4.6 软件安全技术
4.7 安全架构与设计检查
4.8 本章小结
第5章 编写安全的代码
5.1 概述
5.2 常见软件漏洞类型分析与防御方法
5.3 软件安全编码实践
5.4 软件安全编码保证过程
5.5 本章小结
第6章 软件安全测试
6.1 概述
6.2 软件安全功能测试
6.3 软件安全漏洞测试
6.4 其他测试
6.5 软件安全功能测试方法
6.6 软件安全漏洞测试方法
6.7 几种重要的软件安全漏洞控制测试
6.8 测试过程模型
6.9 测试数据的管理
6.10 常见的软件安全测试工具
6.11 本章小结
附录A 软件安全开发生命周期模型
附录B 常见的HTTP状态代码和原因解释
附录C 用于输入验证的正则表达式语法
附录D 常用软件安全测试工具
参考文献
致谢
