本书共分为9章。系统地介绍了软件安全开发的基础知识,包括软件开发的现状和常见的开发生命周期模型;在传统需求分析方法基础上介绍软件安全需求与设计,重点介绍威胁建模方法;结合软件开发模型介绍软件发布和部署阶段的安全措施;具体结合C、C++、Java、PHP、Python等语言,详细讲解其安全现状、常见漏洞和编码规范;概述了安全测试的流程和方法,并结合典型案例让读者能够对这些代码中的安全漏洞有比较全面和深入的了解,从而在实际开发过程中避免出现类似漏洞。
本书既可作为高校网络空间安全、信息安全等相关专业的教材及网络工程、计算机技术应用培训教材,也可作为负责网络安全运维的网络管理人员和对网络空间安全感兴趣的读者的基础读物。
第1章 软件安全开发基础
1.1 软件安全开发现状
1.1.1 软件安全面临的挑战
1.1.2 软件安全开发问题
1.1.3 软件安全问题成因
1.2 软件开发生命周期
1.3 软件安全开发模型
1.3.1 安全开发生命周期
1.3.2 内建安全成熟度模型
1.3.3 软件保证成熟度模型
1.3.4 综合的轻量应用安全过程
1.4 人员角色规划
第2章 软件安全需求与设计
2.1 安全需求概述
2.1.1 安全需求的定义
2.1.2 安全需求的标准
2.2 安全需求分析方法
2.2.1 安全需求分析过程
2.2.2 安全需求分析的常用方法
2.3 系统设计概述
2.3.1 系统设计内容
2.3.2 安全设计原则
2.4 安全设计方法
2.4.1 危险性分析
2.4.2 基于模式的软件安全设计
2.4.3 安全关键单元的确定和设计
2.5 威胁建模
2.5.1 威胁建模概述
2.5.2 威胁建模过程
2.5.3 威胁建模的输出与缓解
第3章 C和C++安全编码
3.1 C和C++开发安全现状
3.2 C和C++常见安全漏洞
3.2.1 缓冲区溢出漏洞
3.2.2 释放后使用漏洞
3.2.3 整型溢出漏洞
3.2.4 空指针解引用漏洞
3.2.5 格式化字符串漏洞
3.2.6 内存泄漏
3.2.7 二次释放漏洞
3.2.8 类型混淆漏洞
3.2.9 未初始化漏洞
3.3 C和C++安全编码规范
第4章 Java安全编码
4.1 Java开发安全现状
4.2 Java常见安全漏洞
4.2.1 SQL注入漏洞
4.2.2 XSS漏洞
4.2.3 重定向漏洞
4.2.4 路径遍历漏洞
4.2.5 不安全的安全哈希算法
4.2.6 XPath注入漏洞
4.2.7 硬编码密码
4.3 Java安全编码规范
4.3.1 声明和初始化
4.3.2 表达式
4.3.3 面向对象
4.3.4 方法
4.3.5 异常处理
4.3.6 线程锁
4.3.7 线程API
4.3.8 输入输出
第5章 PHP安全编码
5.1 PHP开发安全现状
5.2 PHP常见安全漏洞
5.2.1 会话攻击
5.2.2 命令注入攻击
5.2.3 客户端脚本注入攻击
5.2.4 变量覆盖漏洞
5.2.5 危险函数
5.3 PHP安全编码规范
5.3.1 语言规范
5.3.2 程序注释
5.3.3 项目规范
5.3.4 特殊规范
5.3.5 配置安全
第6章 Python安全编码
6.1 Python开发安全现状
6.2 Python常见安全威胁的防御
6.2.1 代码注入的防御
6.2.2 密码存储方式
6.2.3 异常处理机制
6.2.4 文件上传漏洞的防御
6.3 Python安全编码规范
6.3.1 代码布局
6.3.2 注释语句
6.3.3 命名规范
6.3.4 函数安全
6.3.5 编程建议
第7章 软件安全测试
7.1 安全测试概述
7.2 安全测试流程
7.2.1 安全测试具体流程
7.2.2 安全测试具体内容
7.2.3 安全测试原则
7.2.4 PDCA循环
7.3 安全测试技术
7.3.1 人工审查
7.3.2 代码分析
7.3.3 模糊测试
7.3.4 渗透测试
第8章 软件安全发布与部署
8.1 软件安全发布
8.1.1 最终安全审查
8.1.2 安全事故响应计划
8.2 软件安全部署
8.2.1 漏洞管理
8.2.2 环境强化
8.2.3 操作激活
第9章 典型案例
9.1 应用背景
9.2 企业需求
9.3 解决方案
9.4 方案优势
附录A 英文缩略语
参考文献
[
我的消息
购物车
