中文名: 軟件安全開發生命周期
原名: The Security Development Lifecycle
作者: (美)Michael Howard
(美)Steve Lipner
譯者: 李兆星
原浩
張钺
資源格式: PDF
版本: 中譯本,掃描版
出版社: 電子工業出版社
書號: 9787121052941
發行時間: 2008年01月
地區: 大陸
語言: 簡體中文
簡介:

內容簡介:
對於軟件安全開發生命周期（SDL）的介紹不僅講述了一個方法論變遷的歷史，還在每一個已經實踐過的過程（從設計到發布產品）的每一個階段為你提供指導，以將安全缺陷降低到最小程度。軟件開發方法的發展和采用對提高微軟軟件產品的安全性和保密性的確卓有成效。由13個階段的過程組成，統稱為軟件安全開發生命周期。本書將向您一一呈獻。本書的特別之處在於SDL並不是枯燥乏味的理論，而是更具有可操作性的實踐指南。SDL有兩重目的：其一是減少安全漏洞與隱私問題的數量，其二是降低殘留漏洞的嚴重性。
內容截圖:

目錄:
第1部分 對SDL的需求
第1章 適可而止：威脅正在悄然改變 3
1.1 遍布安全和隱私沖突的世界 5
1.2 影響安全的另一因素：可靠性 8
1.3 事關質量 10
1.4 主要的軟件開發商為什麼需要開發更安全的軟件 11
1.5 內部軟件開發人員為什麼需要開發更安全的軟件 12
1.6 小型軟件開發者為什麼需要開發更安全的軟件 12
1.7 總結 13
參考文獻 13
第2章 當前軟件開發方法不足以生成安全的軟件 17
2.1 “只要給予足夠的關注，所有的缺陷都將無處遁形” 18
2.1.1 審核代碼的動力 18
2.1.2 理解安全bug 19
2.1.3 人員數量 19
2.1.4 “關注越多”越容易失去要點 20
2.2 專利軟件開發模式 21
2.3 敏捷開發模式 22
2.4 通用評估准則 22
2.5 總結 23
參考文獻 24
第3章 微軟SDL簡史 27
3.1 前奏 27
3.2 新威脅，新對策 29
3.3 Windows 2000和Secure Windows Initiative 30
3.4 追求可度量性：貫穿Windows XP 32
3.5 安全推進和最終安全評審(FSR) 33
3.6 形成軟件安全開發生命周期 36
3.7 持續的挑戰 37
參考文獻 38
第4章 管理層的SDL 41
4.1 成功的承諾 41
4.1.1 微軟的承諾 41
4.1.2 你是否需要SDL？ 43
4.1.3 有效承諾 45
4.2 管理SDL 48
4.2.1 資源 48
4.2.2 項目是否步入正軌？ 50
4.3 總結 51
參考文獻 51
第2部分 軟件安全開發生命周期過程
第5章 第0階段：教育和意識 55
5.1 微軟安全教育簡史 56
5.2 持續教育 58
5.3 培訓交付類型 60
5.4 練習與實驗 61
5.5 追蹤參與度與合規度 62
5.6 度量知識 63
5.7 實現自助培訓 63
5.8 關鍵成功因子與量化指標 64
5.9 總結 65
參考文獻 65
第6章 第1階段：項目啟動 67
6.1 判斷軟件安全開發生命周期是否覆蓋應用 67
6.2 任命安全顧問 68
6.2.1 擔任開發團隊與安全團隊之間溝通的橋梁 69
6.2.2 召集開發團隊舉行SDL啟動會議 70
6.2.3 對開發團隊的設計與威脅模型進行評審 70
6.2.4 分析並對bug進行分類，如安全類和隱私類 70
6.2.5 擔任開發團隊的安全傳聲筒 71
6.2.6 協助開發團隊准備最終安全審核 71
6.2.7 與相應安全團隊協同工作 71
6.3 組建安全領導團隊 71
6.4 確保在bug跟蹤管理過程中包含有安全與隱私類bug 72
6.5 建立“bug標准” 74
6.6 總結 74
參考文獻 74
第7章 第2階段：定義並遵從設計最佳實踐 75
參考文獻 90
第8章 第3階段：產品風險評估 93
第9章 第4階段：風險分析 101
第10章 第5階段：創建安全文檔、工具以及客戶最佳實踐 133
第11章 第6階段：安全編碼策略 143
第12章 第7階段：安全測試策略 153
第13章 第8階段：安全推進活動 169
第14章 第9階段：最終安全評審 181
第15章 第10階段：安全響應規劃 187
第16章 第11階段：產品發布 215
第17 章 第12階段：安全響應執行 217
第3部分 SDL
參考資料
第18章 在敏捷模式中集成SDL 225
參考文獻 239
第19章 SDL違禁函數調用 241
第20章 SDL最低加密標准 251
第21章 SDL必備工具以及編譯器選項 259
第22章 威脅樹模式
索引