注冊 | 登錄讀書好,好讀書,讀好書!
讀書網(wǎng)-DuShu.com
當前位置: 首頁出版圖書科學(xué)技術(shù)計算機/網(wǎng)絡(luò)信息安全軟件安全開發(fā)生命周期(安全技術(shù)大系)

軟件安全開發(fā)生命周期(安全技術(shù)大系)

軟件安全開發(fā)生命周期(安全技術(shù)大系)

定 價:¥55.00

作 者: (美國)Steve Lipner,Michael Howard 著;李兆星 譯
出版社: 電子工業(yè)出版社
叢編項: 安全技術(shù)大系
標 簽: 信息安全

ISBN: 9787121052941 出版時間: 2007-12-01 包裝: 平裝
開本: 16 頁數(shù): 329 字數(shù):  

內(nèi)容簡介

  對于軟件安全開發(fā)生命周期(SDL)的介紹不僅講述了一個方法論變遷的歷史,還在每一個已經(jīng)實踐過的過程(從設(shè)計到發(fā)布產(chǎn)品)的每一個階段為你提供指導(dǎo),以將安全缺陷降低到最小程度。軟件開發(fā)方法的發(fā)展和采用對提高微軟軟件產(chǎn)品的安全性和保密性的確卓有成效。由13個階段的過程組成,統(tǒng)稱為軟件安全開發(fā)生命周期。本書將向您一一呈獻。本書的特別之處在于SDL并不是枯燥乏味的理論,而是更具有可操作性的實踐指南。SDL有兩重目的:其一是減少安全漏洞與隱私問題的數(shù)量,其二是降低殘留漏洞的嚴重性。本書適合以下人員閱讀:一類是高級管理人員以及具體管理軟件開發(fā)團隊和軟件開發(fā)過程的管理人員,另一類則是軟件設(shè)計師和軟件架構(gòu)師。

作者簡介

  Michael Howard,CISSP,微軟安全技術(shù)部資深安全項目經(jīng)理。Michael著有諸多安全相關(guān)的文章和書籍,包括廣受贊譽的“Writing Secure Code”(《編寫安全的代碼》)和“19 Deadly Sins of Software Security”。他自從1992年起就從事Microsoft Windows 安全方面的工作,現(xiàn)致力于安全設(shè)計、編程和測試技能。Michael還是微軟出版社安全軟件開發(fā)系列書的顧問編輯。

圖書目錄


第1部分 對SDL的需求
第1章 適可而止:威脅正在悄然改變 3
1.1 遍布安全和隱私?jīng)_突的世界 5
1.2 影響安全的另一因素:可靠性 8
1.3 事關(guān)質(zhì)量 10
1.4 主要的軟件開發(fā)商為什么需要開發(fā)更安全的軟件 11
1.5 內(nèi)部軟件開發(fā)人員為什么需要開發(fā)更安全的軟件 12
1.6 小型軟件開發(fā)者為什么需要開發(fā)更安全的軟件 12
1.7 總結(jié) 13
參考文獻 13
第2章 當前軟件開發(fā)方法不足以生成安全的軟件 17
2.1 “只要給予足夠的關(guān)注,所有的缺陷都將無處遁形” 18
2.1.1 審核代碼的動力 18
2.1.2 理解安全bug 19
2.1.3 人員數(shù)量 19
2.1.4 “關(guān)注越多”越容易失去要點 20
2.2 專利軟件開發(fā)模式 21
2.3 敏捷開發(fā)模式 22
2.4 通用評估準則 22
2.5 總結(jié) 23
參考文獻 24
第3章 微軟SDL簡史 27
3.1 前奏 27
3.2 新威脅,新對策 29
3.3 Windows 2000和Secure Windows Initiative 30
3.4 追求可度量性:貫穿Windows XP 32
3.5 安全推進和最終安全評審(FSR) 33
3.6 形成軟件安全開發(fā)生命周期 36
3.7 持續(xù)的挑戰(zhàn) 37
參考文獻 38
第4章 管理層的SDL 41
4.1 成功的承諾 41
4.1.1 微軟的承諾 41
4.1.2 你是否需要SDL? 43
4.1.3 有效承諾 45
4.2 管理SDL 48
4.2.1 資源 48
4.2.2 項目是否步入正軌? 50
4.3 總結(jié) 51
參考文獻 51
第2部分 軟件安全開發(fā)生命周期過程
第5章 第0階段:教育和意識 55
5.1 微軟安全教育簡史 56
5.2 持續(xù)教育 58
5.3 培訓(xùn)交付類型 60
5.4 練習(xí)與實驗 61
5.5 追蹤參與度與合規(guī)度 62
5.6 度量知識 63
5.7 實現(xiàn)自助培訓(xùn) 63
5.8 關(guān)鍵成功因子與量化指標 64
5.9 總結(jié) 65
參考文獻 65
第6章 第1階段:項目啟動 67
6.1 判斷軟件安全開發(fā)生命周期是否覆蓋應(yīng)用 67
6.2 任命安全顧問 68
6.2.1 擔任開發(fā)團隊與安全團隊之間溝通的橋梁 69
6.2.2 召集開發(fā)團隊舉行SDL啟動會議 70
6.2.3 對開發(fā)團隊的設(shè)計與威脅模型進行評審 70
6.2.4 分析并對bug進行分類,如安全類和隱私類 70
6.2.5 擔任開發(fā)團隊的安全傳聲筒 71
6.2.6 協(xié)助開發(fā)團隊準備最終安全審核 71
6.2.7 與相應(yīng)安全團隊協(xié)同工作 71
6.3 組建安全領(lǐng)導(dǎo)團隊 71
6.4 確保在bug跟蹤管理過程中包含有安全與隱私類bug 72
6.5 建立“bug標準” 74
6.6 總結(jié) 74
參考文獻 74
第7章 第2階段:定義并遵從設(shè)計最佳實踐 75
參考文獻 90
第8章 第3階段:產(chǎn)品風(fēng)險評估 93
第9章 第4階段:風(fēng)險分析 101
第10章 第5階段:創(chuàng)建安全文檔、工具以及客戶最佳實踐 133
第11章 第6階段:安全編碼策略 143
第12章 第7階段:安全測試策略 153
第13章 第8階段:安全推進活動 169
第14章 第9階段:最終安全評審 181
第15章 第10階段:安全響應(yīng)規(guī)劃 187
第16章 第11階段:產(chǎn)品發(fā)布 215
第17章 第12階段:安全響應(yīng)執(zhí)行 217
第3部分 SDL
參考資料
第18章 在敏捷模式中集成SDL 225
參考文獻 239
第19章 SDL違禁函數(shù)調(diào)用 241
第20章 SDL最低加密標準 251
第21章 SDL必備工具以及編譯器選項 259

本目錄推薦

掃描二維碼
Copyright ? 讀書網(wǎng) m.hotzeplotz.com 2005-2020, All Rights Reserved.
鄂ICP備15019699號 鄂公網(wǎng)安備 42010302001612號