出版時(shí)間:2008-3 出版社:機(jī)械工業(yè)出版社 作者:Brian Chess,Jacob West 頁數(shù):362 譯者:董啟雄,韓平
Tag標(biāo)簽:無
內(nèi)容概要
本書介紹應(yīng)用靜態(tài)分析技術(shù)創(chuàng)建安全軟件的方法,共分為4個(gè)部分。第一部分“軟件安全和靜態(tài)分析”,講述軟件安全靜態(tài)分析概述性的內(nèi)容,即軟件安全問題:靜態(tài)分析幫助改善軟件安全性的方法;以及將靜態(tài)分析集成到軟件開發(fā)過程等。第二部分“常見問題”,探討當(dāng)前最為常見的安全問題和安全缺陷類型,并用來自安全實(shí)踐的Java和C代碼實(shí)例闡明了:如何發(fā)現(xiàn)編碼錯(cuò)誤:如何防止出現(xiàn)編碼錯(cuò)誤:以及通過靜態(tài)分析如何能快速找出類似的錯(cuò)誤等。第三部分“特性與特色”,處理影響常見的各種程序以及特殊軟件功能的相關(guān)安全問題。第四部分“靜態(tài)分析實(shí)踐”,給出一組展現(xiàn)靜態(tài)分析如何能夠改進(jìn)軟件安全的動(dòng)手實(shí)踐。 本書適合于軟件開發(fā)人員、軟件安全工程師、軟件分析師,軟件測(cè)試人員以及其他關(guān)注構(gòu)建更加安全的軟件的人員。
作者簡介
Brian Chess是Fortify Software公司的創(chuàng)始人和首席科學(xué)家,他的研究重點(diǎn)是用于創(chuàng)建安全系統(tǒng)的實(shí)用方法。他在圣克魯茲的加帥l大學(xué)(University of California)獲得計(jì)算機(jī)工程博士學(xué)位,在那里他研究在代碼中查找安全相關(guān)缺陷問題的靜態(tài)分析。
書籍目錄
譯者序序前言作者簡介第一部分 軟件安全和靜態(tài)分析 第1章 軟件安全問題 1.1 僅有防御性編程還不夠 1.2 安全功能≠安全的功能 1.3 質(zhì)量的誤區(qū) 1.4 軟件開發(fā)全局中的靜態(tài)分析 1.5 漏洞分類 1.5.1 7種有害的領(lǐng)域 1.5.2 “7種有害的領(lǐng)域”與“OWASP前10名” 1.6 小結(jié) 第2章 靜態(tài)分析簡介 2.1 靜態(tài)分析的能力和局限性 2.2 通過靜態(tài)分析解決問題 2.2.1 類型檢查 2.2.2 風(fēng)格檢查 2.2.3 程序理解 2.2.4 程序驗(yàn)證和屬性檢查 2.2.5 Bu9查找 2.2.6 安全審查 2.3 一點(diǎn)理論,一點(diǎn)實(shí)際 2.3.1 成功準(zhǔn)則 2.3.2 分析源代碼與分析編譯后的代碼 2.4 小結(jié) 第3章 作為代碼審查過程組成部分的靜態(tài)分析 3.1 執(zhí)行代碼審查 3.1.1 代碼審查周期 3.1.2 避開可利用性陷阱 3.2 將安全審查加入到現(xiàn)有的開發(fā)過程中 3.2.1 采用工具的疑慮 3.2.2 小處著手,循序漸進(jìn) 3.3 靜態(tài)分析度量標(biāo)準(zhǔn) 3.4 小結(jié) 第4章 靜態(tài)分析技術(shù)內(nèi)幕 4.1 建?! ? 4.1.1 詞法分析 4.1.2 解析 4.1.3 抽象語法 4.1.4 語義分析 4.1.5 跟蹤控制流 4.1.6 跟蹤數(shù)據(jù)流 4.1.7 污染傳播 4.1.8 指針別名歧義 4.2 分析算法 4.2.1 斷言檢查 4.2.2 單純本地分析 4.2.3 本地分析方法 4.2.4 全局分析 4.2.5 研究性的工具 4.3 規(guī)則 4.3.1 規(guī)則格式 4.3.2 用于污染傳播的規(guī)則 4.3.3 本書中討論的規(guī)則 4.4 報(bào)告結(jié)果 4.4.1 結(jié)果的分組和分類 4.4.2 消除非預(yù)期的結(jié)果 4.4.3 解釋結(jié)果的意義 4.5 小結(jié)第二部分 常見問題 第5章 處理輸入 第6章 緩沖區(qū)溢出 第7章 緩沖區(qū)溢出伴隨的問題 第8章 錯(cuò)誤和異常第三部分 特性與特色 第9章 Web應(yīng)用程序 第10章 XML與Web服務(wù) 第11章 隱私與秘密 第12章 具有特權(quán)的程序第四部分 靜態(tài)分析實(shí)踐 第13章 Java語言源代碼分析練習(xí) 第14章 C語言源代碼分析練習(xí)結(jié)束語參考文獻(xiàn)
媒體關(guān)注與評(píng)論
“為了能夠?qū)ava進(jìn)行靜態(tài)分析,我們對(duì)其進(jìn)行了相關(guān)設(shè)計(jì)。本書向您展示了如何應(yīng)用高級(jí)靜態(tài)分析技術(shù)來創(chuàng)建更為安全、更為可靠的軟件。”——Bill Joy(Sun Microsystems公司的共同創(chuàng)始人、Java語言的共同發(fā)明人)本書是適合關(guān)心安全的開發(fā)人員和安全從業(yè)人員閱讀的一本優(yōu)秀入門書。本書寫得非常好,容易閱讀,講述的內(nèi)容正是您所需要的?!薄狣avid Wagner(加利福尼亞大學(xué)伯克利分校副教授)“軟件開發(fā)人員是代碼安全的第一道也是最佳的一道防線。本書為他們提供安全開發(fā)知識(shí)和相關(guān)的工具,以便在軟件成為最終產(chǎn)品使用之前消除安全漏洞?!薄狧oward A. Schmidt(前白宮計(jì)算機(jī)安全顧問)
編輯推薦
《安全編程代碼靜態(tài)分析》適合所有關(guān)注構(gòu)建更加安全的軟件的人:軟件開發(fā)人員、軟件安全工程師、軟件分析師以及軟件測(cè)試人員。
圖書封面
圖書標(biāo)簽Tags
無
評(píng)論、評(píng)分、閱讀與下載