軟件安全開發(fā)指南：應(yīng)用軟件安全級(jí)別驗(yàn)證參考標(biāo)準(zhǔn)

定　價(jià)：￥36.00

作　者：	[美] OWASP基金會(huì) 著
出版社：	電子工業(yè)出版社
叢編項(xiàng)：	新型網(wǎng)絡(luò)安全人才培養(yǎng)叢書
標(biāo)　簽：	計(jì)算機(jī)/網(wǎng)絡(luò) 信息安全

購買這本書可以去

ISBN：	9787121338496	出版時(shí)間：	2018-03-01	包裝：	平裝
開本：	16開	頁數(shù)：	152	字?jǐn)?shù)：

內(nèi)容簡(jiǎn)介

　　本書系統(tǒng)性地介紹了OWASP安全組織研究總結(jié)的應(yīng)用安全驗(yàn)證標(biāo)準(zhǔn)，為軟件開發(fā)過程中的安全控制措施開發(fā)提供直接指導(dǎo)與必要參考。全書分為兩大部分：第一部分介紹了應(yīng)用安全驗(yàn)證要求的使用方法和參考案例。第二部分詳細(xì)介紹了19項(xiàng)安全控制措施的驗(yàn)證要求，并針對(duì)每種安全驗(yàn)證介紹了不同級(jí)別的控制目標(biāo)和詳細(xì)要求。本書旨在幫助相關(guān)軟件開發(fā)企業(yè)機(jī)構(gòu)和團(tuán)隊(duì)提升有關(guān)應(yīng)用軟件安全開發(fā)的相關(guān)意識(shí)；并在應(yīng)用軟件設(shè)計(jì)、開發(fā)和測(cè)試過程中，能明確對(duì)功能性和非功能性安全控制的要求。本書適合軟件開發(fā)企業(yè)的管理人員和執(zhí)行人員，從事軟件安全開發(fā)相關(guān)的專業(yè)人員，以及高等院校軟件工程、信息安全、信息管理等專業(yè)的研究生、本科生學(xué)習(xí)和參考。

作者簡(jiǎn)介

　　OWASP是一個(gè)開源的、非盈利的全球性安全組織，致力于應(yīng)用軟件的安全研究，在業(yè)界具有一流的影響力和**性。作為OWASP面向中國的區(qū)域分支，OWASP中國自2006年正式啟動(dòng)，目前已擁有來自互聯(lián)網(wǎng)安全專業(yè)領(lǐng)域和政府、電信、金融、教育等相關(guān)領(lǐng)域的會(huì)員5000多名，形成了強(qiáng)大的專業(yè)技術(shù)實(shí)力和行業(yè)資源聚集能力，有力推動(dòng)了安全標(biāo)準(zhǔn)、安全測(cè)試工具、安全指導(dǎo)手冊(cè)等應(yīng)用安全技術(shù)在中國的發(fā)展，成為了積極推動(dòng)中國互聯(lián)網(wǎng)安全技術(shù)創(chuàng)新、人才培養(yǎng)和行業(yè)發(fā)展的中堅(jiān)力量。作為OWASP中國的運(yùn)營(yíng)中心，互聯(lián)網(wǎng)安全研究中心（Security Zone，簡(jiǎn)稱SecZone）是國內(nèi)**獨(dú)立、開源的互聯(lián)網(wǎng)安全研究機(jī)構(gòu)。中心始終秉持引入、吸收、創(chuàng)新的發(fā)展宗旨，專注于互聯(lián)網(wǎng)安全前沿技術(shù)和OWASP項(xiàng)目的深度研究，常年組織開展各類開源培訓(xùn)及沙龍活動(dòng)，致力于通過對(duì)國內(nèi)外技術(shù)、資源的整合、應(yīng)用和創(chuàng)新，更好地服務(wù)業(yè)界同仁、服務(wù)行業(yè)發(fā)展，更有力地推動(dòng)國內(nèi)互聯(lián)網(wǎng)安全技術(shù)的進(jìn)步與升級(jí)。

圖書目錄

第一篇 ASVS概述
第1章使用應(yīng)用安全驗(yàn)證標(biāo)準(zhǔn)\t2
1．1 應(yīng)用安全驗(yàn)證級(jí)別\t3
1．2 如何使用這個(gè)標(biāo)準(zhǔn)\t4
1．3 在實(shí)踐中應(yīng)用ASVS\t7
第2章評(píng)估軟件是否達(dá)到驗(yàn)證水平\t10
2．1 使用指導(dǎo)\t11
2．2 自動(dòng)滲透測(cè)試工具的作用\t12
2．3 滲透測(cè)試的作用\t12
2．4 用作詳細(xì)的安全架構(gòu)指導(dǎo)\t13
2．5 用作現(xiàn)有安全編碼清單的替代\t13
2．6 用作自動(dòng)化單元和集成測(cè)試指南\t14
2．7 用作安全開發(fā)培訓(xùn)\t14
第二篇 ASVS詳解
第3章 V1：架構(gòu)、設(shè)計(jì)和威脅建模\t16
3．1 控制目標(biāo)\t17
3．2 驗(yàn)證要求\t17
3．3 參考文獻(xiàn)\t19
第4章 V2：認(rèn)證\t20
4．1 控制目標(biāo)\t21
4．2 驗(yàn)證要求\t21
4．3 參考文獻(xiàn)\t24
第5章 V3：會(huì)話管理\t26
5．1 控制目標(biāo)\t27
5．2 驗(yàn)證要求\t27
5．3 參考文獻(xiàn)\t29
第6章 V4：訪問控制\t30
6．1 控制目標(biāo)\t31
6．2 驗(yàn)證要求\t31
6．3 參考文獻(xiàn)\t33
第7章 V5：惡意輸入處理\t34
7．1 控制目標(biāo)\t35
7．2 驗(yàn)證要求\t35
7．3 參考文獻(xiàn)\t38
第8章 V6：密碼學(xué)安全\t40
8．1 控制目標(biāo)\t41
8．2 驗(yàn)證要求\t41
8．3 參考文獻(xiàn)\t43
第9章 V7：錯(cuò)誤處理和日志記錄\t44
9．1 控制目標(biāo)\t45
9．2 驗(yàn)證要求\t46
9．3 參考文獻(xiàn)\t48
第10章 V8：數(shù)據(jù)保護(hù)\t49
10．1 控制目標(biāo)\t50
10．2 驗(yàn)證要求\t51
10．3 參考文獻(xiàn)\t52
第11章 V9：通信安全\t53
11．1 控制目標(biāo)\t54
11．2 驗(yàn)證要求\t54
11．3 參考文獻(xiàn)\t56
第12章 V10：HTTP安全配置\t58
12．1 控制目標(biāo)\t59
12．2 驗(yàn)證要求\t59
12．3 參考文獻(xiàn)\t60
第13章 V11：惡意控件\t62
13．1 控制目標(biāo)\t63
13．2 驗(yàn)證要求\t63
13．3 參考文獻(xiàn)\t64
第14章 V12：業(yè)務(wù)邏輯\t65
14．1 控制目標(biāo)\t66
14．2 驗(yàn)證要求\t66
14．3 參考文獻(xiàn)\t67
第15章 V13：文件和資源\t68
15．1 控制目標(biāo)\t69
15．2 驗(yàn)證要求\t69
15．3 參考文獻(xiàn)\t70
第16章 V14：移動(dòng)應(yīng)用程序\t71
16．1 控制目標(biāo)\t72
16．2 驗(yàn)證要求\t72
16．3 參考文獻(xiàn)\t74
第17章 V15：Web服務(wù)\t75
17．1 控制目標(biāo)\t76
17．2 驗(yàn)證要求\t76
17．3 參考文獻(xiàn)\t78
第18章 V16：安全配置\t79
18．1 控制目標(biāo)\t80
18．2 驗(yàn)證要求\t80
18．3 參考文獻(xiàn)\t81
第三篇 ASVS實(shí)踐案例分析
第19章 ASVS的實(shí)踐案例\t83
19．1 案例1：作為安全測(cè)試指南使用\t84
19．2 案例2：作為SDLC的實(shí)施指導(dǎo)\t86
附錄
附錄A 名詞解釋\t89
附錄B 參考文獻(xiàn)\t95
附錄C 標(biāo)準(zhǔn)映射\t97
附錄D ASVS術(shù)語表\t99
附錄E 采用ASVS的OWASP項(xiàng)目\t104
附錄F OWASP安全編碼規(guī)范快速參考指南\t106