更新时间:2023-07-15 23:33
《软件安全开发生命周期》是2008年1月1日由电子工业出版社出版的图书,作者是霍华德、李普纳。
该书的特别之处在于SDL并不是枯燥乏味的理论,而是更具有可操作性的实践指南。SDL有两重目的:其一是减少安全漏洞与隐私问题的数量,其二是降低残留漏洞的严重性。
对于软件安全开发生命周期(SDL)的介绍不仅讲述了一个方法论变迁的历史,还在每一个已经实践过的过程(从设计到发布产品)的每一个阶段为你提供指导,以将安全缺陷降低到最小程度。软件开发方法的发展和采用对提高微软软件产品的安全性和保密性的确卓有成效。由13个阶段的过程组成,统称为软件安全开发生命周期。本书将向您一一呈献。
Howard和Lipner以生动翔实的语言描述了微软如何通过软件安全开发生命周期(SDL)应对软件安全质量显著提升的巨大挑战,每个企业都应在其供应商中寻找此类惯例。
——JohnPescatore,盖纳(Gartner)公司副总裁
MichaelHoward,CISSP,微软安全技术部资深安全项目经理。Michael著有诸多安全相关的文章和书籍,包括广受赞誉的“WritingSecureCode”(《编写安全的代码》)和“19DeadlySinsofSoftwareSecurity”。他自从1992年起就从事MicrosoftWindows安全方面的工作,现致力于安全设计、编程和测试技能。Michael还是微软出版社安全软件开发系列书的顾问编辑。
第1部分对SDL的需求
第1章适可而止:威胁正在悄然改变3
1.1遍布安全和隐私冲突的世界5
1.2影响安全的另一因素:可靠性8
1.3事关质量10
1.4主要的软件开发商为什么需要开发更安全的软件11
1.5内部软件开发人员为什么需要开发更安全的软件12
1.6小型软件开发者为什么需要开发更安全的软件12
1.7总结13
参考文献13
第2章当前软件开发方法不足以生成安全的软件17
2.1“只要给予足够的关注,所有的缺陷都将无处遁形”18
2.1.1审核代码的动力18
2.1.2理解安全bug19
2.1.3人员数量19
2.1.4“关注越多”越容易失去要点20
2.2专利软件开发模式21
2.3敏捷开发模式22
2.4通用评估准则22
2.5总结23
参考文献24
第3章微软SDL简史27
3.1前奏27
3.2新威胁,新对策29
3.3Windows2000和SecureWindowsInitiative30
3.4追求可度量性:贯穿WindowsXP32
3.5安全推进和最终安全评审(FSR)33
3.6形成软件安全开发生命周期36
3.7持续的挑战37
参考文献38
第4章管理层的SDL41
4.1成功的承诺41
4.1.1微软的承诺41
4.1.2你是否需要SDL?43
4.1.3有效承诺45
4.2管理SDL48
4.2.1资源48
4.2.2项目是否步入正轨?50
4.3总结51
参考文献51
第2部分软件安全开发生命周期过程
第5章第0阶段:教育和意识55
5.1微软安全教育简史56
5.2持续教育58
5.3培训交付类型60
5.4练习与实验61
5.5追踪参与度与合规度62
5.6度量知识63
5.7实现自助培训63
5.8关键成功因子与量化指标64
5.9总结65
参考文献65
第6章第1阶段:项目启动67
6.1判断软件安全开发生命周期是否覆盖应用67
6.2任命安全顾问68
6.2.1担任开发团队与安全团队之间沟通的桥梁69
6.2.2召集开发团队举行SDL启动会议70
6.2.3对开发团队的设计与威胁模型进行评审70
6.2.4分析并对bug进行分类,如安全类和隐私类70
6.2.5担任开发团队的安全传声筒71
6.2.6协助开发团队准备最终安全审核71
6.2.7与相应安全团队协同工作71
6.3组建安全领导团队71
6.4确保在bug跟踪管理过程中包含有安全与隐私类bug72
6.5建立“bug标准”74
6.6总结74
参考文献74
第7章第2阶段:定义并遵从设计最佳实践75
参考文献90
第8章第3阶段:产品风险评估93
第9章第4阶段:风险分析101
第10章第5阶段:创建安全文档、工具以及客户最佳实践133
第11章第6阶段:安全编码策略143
第12章第7阶段:安全测试策略153
第13章第8阶段:安全推进活动169
第14章第9阶段:最终安全评审181
第15章第10阶段:安全响应规划187
第16章第11阶段:产品发布215
第17章第12阶段:安全响应执行217
第3部分SDL
参考资料
第18章在敏捷模式中集成SDL225
参考文献239
第19章SDL违禁函数调用241
第20章SDL最低加密标准251
第21章SDL必备工具以及编译器选项259
……