内容简介
本书共有13章,分为三大部分,即概念、设计和实施。具体内容包括:第一部分(第1~5章)为全书提供了概念基础,涉及信息安全和隐私基础概述、威胁建模、对可识别威胁进行防御性缓解的通用战略、安全设计模式,以及使用标准的加密库来缓解常见的风险。第二部分(第6~7章)分别从设计者和审查员的角度讨论了如何使软件设计变得安全的指导,以及可以应用哪些技术来实现安全性。第三部分(第8~13章)涵盖了实施阶段的安全性,在有了一个安全的设计后,这一部分将会解释如何在不引入额外漏洞的情况下进行软件开发。
AI简介
这是一本深入探讨软件开发过程中安全问题的书籍。全书共13章,分为三大部分,即概念、设计和实施。概念部分主要介绍了信息安全的基础,包括理解安全、信任、经典原则等,以及威胁建模、隐私方面的考量因素等。设计部分则从设计者和审查员的角度讨论了如何使软件设计变得安全,包括建立缓解措施、将隐私融入设计等。实施部分则涵盖了实施阶段的安全性,包括安全地编程、低级编码缺陷、不受信任的输入、Web安全、安全测试以及安全开发最佳实践等。
书中详细讲解了对抗性视角下的威胁分析,强调我们需要从攻击者的角度去理解和评估潜在威胁,并在软件设计中加入可靠的防御和缓解措施。同时,书中也强调了缓解风险的重要性,提出了结构性缓解策略,并详细讨论了系统安全性的缓解措施。此外,书中还深入探讨了设计属性,包括简单性、透明性等,并阐述了随机数在密码学中的角色。
在安全编码方面,书中详细讲解了安全编码的挑战与对策,包括漏洞链与熵诱导的bug,字符串漏洞与注入攻击,以及不受信任输入的威胁与防御等。同时,书中也详细介绍了Web安全模型的基本原理,包括安全通信、HTTP的正确使用、同源策略等,并对对GotoFail漏洞执行安全测试进行
推荐影视
阅读/下载地址