软件安全——软件开发必要部分

作者:课课家教育更新于： 2019-04-02 23:34:12

　　世界上有许多优秀的软件开发人员和架构师在创造各种令人兴奋的事物。问题是，虽然这些开发人员和架构师都是世界一流的，但他们并没有机会对安全进行深入了解。

　　本书是由软件安全领域的权威专家编著，讲授如何实施软件安全的专著。本书在论述软件安全理论的基础上详细讲解了如何将软件安全付诸实践。书中描述的软件安全最优方法（或者称为接触点）以优秀的软件工程方法为基础，并且在整个软件开发生命周期中都明确地仔细考量安全问题，即认识和理解普通的风险（包括实现缺陷和体系结构瑕疵）、基于安全进行设计，以及对所有的软件工件都进行彻底、客观的风险分析和测试。本书的目的是使接触点方法为你所用。采用本书的方法并不会从根本上改变你的工作方式，但是能够改善现有的软件开发生命周期，并能据此来创建自己的安全的开发生命周期。本书还介绍了知识管理、培训与认知，以及企业级的软件安全计划等方面的内容。

　　适合与软件相关的任何机构的管理人员、商业人员、软件架构人员、软件开发人员、软件测试人员以及安全管理人员阅读，可以作为大学、研究机构和培训机构的计算机安全和软件安全课程的教材和参考书。

　　GaryMcGraw，博士，Cigital公司的首席技术官和董事会成员。他也是软件安全领域的世界级权威，与人合著了5部最畅销的安全方面的著作：与rootkit.com的GregHoglund合著《利用软件的弱点》；与JohnViega合著《建造安全的软件》（BuildingSecureSoftware；Addison-Wesley出版社，2001）；与普林斯顿大学的EdFelten教授合著《java的安全性：有害的小程序、漏洞和解决方法》（JavaSecurity:HostileApplets，Holes，andAntidotes；Wiley出版社，1996）和《保障Java的安全：开始认真考虑移动代码》（SecuringJava:GettingDowntoBusinesswithMobileCode；Wiley出版社，1999），以及与Cigital公司的共同创始人JeffreyVoas博士合著的《软件缺点注射：给程序打预防针以防范错误》（SoftwareFaultInjection:InoculatingProgramsagainstErrors；Wiley出版社，1998）。McGraw博士经常在知名的商业出版物上发表文章，他的观点也经常被全国性的媒体引用。目前他在ITArchitect杂志上撰写一个关于安全的专栏月刊，同时也是IEEESecurity&Privacy杂志编辑部的成员。

　　McGraw博士与CigitalProfessionalServices和CigitalLabs一起提出软件质量管理技术策略，并指导Cigital的技术转让过程。他的目标是将尖端科学应用于现实世界中的实际领域，并将先进技术转化为实际领域中的具体应用。除了充当一些大型商业软件供应商的顾问之外，他还创建了Cigital的软件安全小组（SoftwareSecurityGroup），并担任Cigital公司技术咨询部（CigitalCorporateTechnologyCouncil）的主任。

　　McGraw博士是一位研究型科学家，一直坚持不懈地进行软件安全领域的研究。他发表了90多篇经过专家评审的技术论文，他也是获得美国空军研究实验室（AirForceResearchLabs）、DARPA、美国国家科学基金会和美国国家标准研究所（NIST）的先进技术计划资助的项目负责人。McGraw是印地安那大学的认知科学和计算机科学的双博士，在那里曾师从DougHofstadter教授，他从弗吉尼亚大学获得哲学学士学位。