Julia H. Allen，曾获得密歇根大学的计算机科学学士学位和南加利福尼亚大学的电子工程硕士学位，目前是SEI的CERT项目的高级研究员。 <br>艾伦，曾获得密歇根大学的计算机科学学士学位和南加利福尼亚大学的电子工程硕士学位，目前是SEI的CERT项目的高级研究员。

　　《软件安全工程》系统阐述了软件安全工程的知识。具体内容包括：软件安全的构成、安全软件的需求、安全软件的架构和设计、安全编码和测试、系统集成、安全管理，等等。《软件安全工程》从软件开发和漏洞攻击两个角度，以对立的观点深刻阐述了构建软件安全的最佳实践。同时，《软件安全工程》不遗余力提高阅读的针对性，对高级经理、项目经理和技术管理人员的适用要点，各有强调论述。《软件安全工程》适合作为从事软件开发、软件测试、软件安全及软件丁程管理的技术人员的参考用书。与其他软件相比，遵循安全理念开发的软件可以更为有效地抵御、容忍攻击并从攻击中恢复。尽管并不存在软件安全的万能解决方案，但是项目经理可以从中获益的实例还是存在的。通过《软件安全工程》，你能找到一些可靠的实例，这些实例有助于提高软件在开发和运行过程中的安全性和可信度。

　　“这本书的系统论述可以为一些组织提供帮助，使它们能够选择一组符合其安全成熟性，抗风险能力和开发风格的工序，策略或技术；可以帮助你理解如何将实用的安全技术纳入到开发周期的各个阶段之中。”<br>　　——微软高级安全专家 Steve Riley <br><br>　　“有一些书讨论了本书中的某些问题，也有一些书论述了安全系统工程；但却很少像本书一样，通俗易懂地描述和讨论关子整个软件开发周期的最新动态和主题。”<br><br>　　——Harrls高级软件安全专家 Ronda Henning

　　第1章 为什么安全是软件的问题<br>　　1.2 问题<br>　　各种机构逐渐使用直接连接到因特网的软件密集型系统来存储、处理和传输敏感的数据。人们在网上开户、购物、付税、买保险、投资、给孩子注册学校、参加各种组织和社交网络的私人金融交易数据常常被暴露。由全球互联引起的信息暴露使得敏感的数据和处理互联的软件系统在面对非蓄意和未经授权的使用时更加脆弱。总之，软件密集型系统与其他具有软件功能的系统已经提供了比以前更开放、更广泛的敏感信息的访问，包括个人身份信息。<br>　　当前，信息战[Denning1998]、网络恐怖主义和电脑犯罪的时代已经来临。恐怖分子、罪犯团伙和其他罪犯时刻都在觊觎整个软件密集型系统，他们经过努力成功地进入了这些系统。这些系统，大多数都没有抵御攻击的能力或攻击反弹的能力去和入侵者对抗。<br>　　在一份给美国总统的标题为“网络安全——优先级之间的危机”的报告中[PITAC2005]，总统信息技术顾问委员会把不安全软件存在的问题归结为：<br>　　软件开发还不是一门严格的学科，并且开发过程基本上没有控制其受攻击者攻击可能性的最小化。当前，那些存在漏洞的软件如同生物体被病魔感染，被入侵和篡改，从而使先前正常的软件遭到破坏，同时被感染的软件可以自身复制并通过网络传播来破坏其他系统。而这些具有破坏性的漏洞也正如病魔一样，不易被病人发现，即使专家们发现了，他们的威胁也一直在增长。<br>　　……

译者序<br>序<br>前言<br>第1章 为什么安全是软件的问题<br>1.1 概述<br>1.2 问题<br>系统复杂性：软件与背景并存<br>1.3 软件保证和软件安全<br>工序和条例在软件安全中的作用<br>1.4 软件安全的威胁<br>1.5 软件不安全的来源<br>1.6 早期检测软件安全漏洞的好处<br>为软件安全设计案例：当前状态<br>1.7 软件安全开发管理<br>1.7.1 我该提出哪些安全策略问题<br>1.7.2 软件安全的风险管理框架<br>1.7.3 开发周期中的软件安全条例<br>1.8 小结<br><br>第2章 安全软件的构成<br>2.1 概述<br>2.2 定义安全软件的属性<br>2.2.1 安全软件的核心属性<br>2.2.2 安全软件的相关属性<br>2.3 如何改善软件的安全属性<br>2.3.1 防御者视角<br>2.3.2 攻击者视角<br>2.4 如何确定所需的安全属性<br>2.4.1 构建安全保证案例<br>2.4.2 安全保证案例的例子<br>2.4.3 将保证案例融入到软件开发周期中<br>2.4.4 其他安全保证相关和合法的工作<br>2.4.5 维持保证案例并从中获益<br>2.5 小结<br><br>第3章 安全软件的需求工程<br>3.1 概述<br>3.1.1 需求工程的重要性<br>3.1.2 质量需求<br>3.1.3 安全需求工程<br>3.2 误用和滥用案例<br>3.2.1 安全不是一套功能<br>3.2.2 想想你不能做什么<br>3.2.3 构建有用的误用案例<br>3.2.4 一个误用的例子<br>3.3 SQUARE过程模型<br>3.3.1 SQUARE的简单描述<br>3.3.2 工具<br>3.3.3 预期结果<br>3.4 SQUARE样本输出<br>3.4.1 SQUARE各个步骤的输出<br>3.4.2 SQUARE的最终结果<br>3.5 需求启发<br>3.5.1 各种启发式方法概览<br>3.5.2 启发评估标准<br>3.6 需求排序<br>3.6.1 确定候选的排序方法<br>3.6.2 排序方法的比较<br>3.6.3 需求排序的一些建议<br>3.7 小结<br><br>第4章 软件安全的架构和设计<br>4.1 概述<br>4.1.1 架构和设计的重要性<br>4.1.2 问题和挑战<br>4.2 软件架构和设计安全条例：架构风险分析<br>4.2.1 软件特性描述<br>4.2.2 威胁分析<br>4.2.3 架构性漏洞评估<br>4.2.4 确定风险可能性<br>4.2.5 确定风险影响<br>4.2.6 风险降低计划<br>4.2.7 架构风险分析简要回顾<br>4.3 架构和设计的软件安全知识：安全原则、安全方针和攻击模式<br>4.3.1 安全原则<br>4.3.2 安全方针<br>4.3.3 攻击模式<br>4.4 小结<br><br>第5章 安全编码和测试<br>5.1 概述<br>5.2 代码分析<br>5.2.1 常见软件编码漏洞<br>5.2.2 源码审查<br>5.3 编码条例安全编码的附加信息<br>5.4 软件安全测试<br>5.4.1 比较软件测试和软件安全测试<br>5.4.2 功能测试<br>5.4.3 基于风险的测试<br>5.5 软件开发前后考虑安全测试<br>5.5.1 单元测试<br>5.5.2 测试库文件和可执行文件<br>5.5.3 集成测试<br>5.5.4 系统测试<br>5.5.5 软件安全测试的附件信息来源<br>5.6 小结<br><br>第6章 安全性和复杂性：系统集成的挑战<br>6.1 概述<br>6.2 安全故障<br>6.2.1 错误分类<br>6.2.2 攻击者行为<br>6.3 从功能和攻击者视角看安全分析：两个例子<br>6.3.1 Web服务：功能视角<br>6.3.2 Web服务：攻击者视角<br>6.3.3 身份管理：功能视角<br>6.3.4 身份管理：攻击者视角<br>6.3.5 身份管理和软件开发<br>6.4 系统复杂性驱动和安全<br>6.4.1 更广泛的故障<br>6.4.2 增量式开发和渐进式开发<br>6.4.3 冲突或目标改变的复杂性<br>6.5 深层技术问题的复杂性<br>6.6 小结<br><br>第7章 软件安全的控制和管理<br>7.1 概述<br>7.2 控制和安全<br>7.2.1 安全控制的定义<br>7.2.2 有效的安全控制和管理的特征<br>7.3 采用一种企业级的软件安全框架<br>7.3.1 常见的陷阱<br>7.3.2 设计方案框架<br>7.3.3 定义方向<br>7.4 多高的安全性才足够<br>7.4.1 定义充分的安全性<br>7.4.2 软件安全风险管理框架<br>7.5 安全管理和项目管理<br>7.5.1 项目规模<br>7.5.2 项目计划<br>7.5.3 资源<br>7.5.4 估计所需资源的性质和持续周期<br>7.5.5 项目和产品风险<br>7.5.6 软件安全的度量<br>7.6 条例的成熟度<br>7.6.1 保护信息<br>7.6.2 审计部的任务<br>7.6.3 操作性恢复与收敛<br>7.6.4 法律的角度<br>7.6.5 软件工程师的角度<br>7.6.6 规范<br>7.7 小结<br><br>第8章 开始<br>8.1 从哪里开始<br>8.2 写在最后<br>术语表<br>参考文献<br>Build SecurityIn网站参考目录