《軟體安全開發指南——套用軟體安全級別驗證參考標準 》是2018年電子工業出版社出版的圖書、作者是(美國)OWASP基金會。
基本介紹
- 中文名:軟體安全開發指南——套用軟體安全級別驗證參考標準
- 作者:(美國)OWASP基金會
- 出版社:電子工業出版社
- 出版時間:2018年3月
- 頁數:152 頁
- 定價:36 元
- 開本:16 開
- 裝幀:平裝
- ISBN:9787121338496
內容簡介,圖書目錄,作者簡介,
內容簡介
本書系統性地介紹了OWASP安全組織研究總結的套用安全驗證標準,為軟體開發過程中的安全控制措施開發提供直接指導與必要參考。全書分為兩大部分:*部分介紹了套用安全驗證要求的使用方法和參考案例。第二部分詳細介紹了19項安全控制措施的驗證要求,並針對每種安全驗證介紹了不同級別的控制目標和詳細要求。本書旨在幫助相關軟體開發企業機構和團隊提升有關套用軟體安全開發的相煮船提腿關意識;並在套用軟體設計、開發和測試過程中,能明確對功能性和非功能性安全控翻講肯凳制的要求。 本書適合軟體開發企業的管理人員和執行人員,從事軟體安全開發相關的專業人員,以及高等院校軟體工程、信息安全、信息管理等專業的研究生、本科生學習和參考。
圖書目錄
第一篇 ASVS概述
第1章 使用套用安全驗證標準 2
1.1 套用安全驗證級別 3
1.2 如何使用這個標準 4
1.3 在實踐中套用ASVS 7
第2章 評估軟體是否達到驗證水平 10
2.1 使用指導 11
2.2 自動滲透測試工具的作用 12
2.3 滲透測試的作用 12
2.4 用作詳細的安全架構指導 13
2.5 用作現有安全編碼清單的替代 13
2.6 用作自動化單元和集成測試指南 14
2.7 用作安全開發培訓 14
第二篇 ASVS詳解
第3章 V1:架構、設計和威脅建模 16
3.1 控制目標 17
3.2 驗證要求 17
3.3 參考文獻 19
第4章 V2:認證 20
4.1 控制目標 21
4.2 驗證要求 21
4.3 參考文獻 24
第5章 V3:會話管理希旬少 26
5.1 控制目標 27
5.2 驗證要求 27
5.3 參考文獻 29
第6章 V4:訪問控制 30
6.1 控制目標 31
6.2 驗證要求 31
6.3 參考文獻 33
第7章 V5:惡意輸入處理 34
7.1 控制目標 35
7.2 驗證要求 35
7.3 參辣促鑽考文獻 38
第8章 V6:密碼學安全 40
8.1 控制目標 41
8.2 驗證要求 41
8.3 參考文獻 43
第9章 V7:錯誤處理和日誌記錄 44
9.1 控制目標 45
9.2 驗證要求 46
9.3 參考文獻 48
第10章 V8:數據保護 49
10.1 控制目標 50
10.2 驗證要求 51
10.3 參考文獻 52
第11章 V9:通信安全 53
11.1 控制目標 54
11.2 驗證要求 54
11.3 參考文獻 56
第和碑兵12章 V10:HTTP安全配置 58
12.1 控制目標 59
12.2 驗證要求 59
12.3 參考文獻 60
第13章 V11:惡意控制項 62
13.1 控制目標 63
13.2 驗證要求 63
13.3 參考文獻 64
第14章 V12:業務邏輯 65
14.1 控制目標 66
14.2 驗證寒端請要求 66
14.3 參考文獻 67
第15章 V13:檔案和資源 68
15.1 控制目標 69
15.2 驗證要求 69
15.3 參考文獻 70
第16章 V14:移動應用程式 71
16.1 控制目標 72
16.2 驗證要求 72
16.3 參考文獻 74
第17章 V15:Web服厚斷務 75
17.1 控制目標 76
17.2 驗證要求 76
17.3 參考文獻 78
第18章 V16:安全配置 79
18.1 控制目標 80
18.2 驗證要求 80
18.3 參考文獻 81
第三篇 ASVS實踐案例分析
第19章 ASVS的實踐案例 83
19.1 案例1:作為安全測試指南使用 84
19.2 案例2:作為SDLC的實施指導 86
附 錄
附錄A 名詞解釋 89
附錄B 參考文獻 95
附錄C 標準映射 97
附錄D ASVS術語表 99
附錄E 採用ASVS的OWASP項目 104
附錄F OWASP安全編碼規範快速參考指南 106
作者簡介
OWASP是一個開源的、非盈利的全球性安全組織,致力於套用軟體的安全研究,在業界具有一流的影響力和權威性。作為OWASP面向中國的區域分支,OWASP中國自2006年正式啟動,目前已擁有來自網際網路安全專業領域和政府、電信、金融、教育等相關領域的會員5000多名,形成了強大的專業技術實力和行業資源聚集能力,有力推動了安全標準、安全測試工具、安全指導手冊等套用安全技術在中國的發展,成為了積極推動中國網際網路安全技術創新、人才培養和行業發展的中堅力量。作為OWASP中國的運營中心,網際網路安全研究中心(Security Zone,簡稱SecZone)是國內首個獨立、開源的網際網路安全研究機構。中心始終秉持引入、吸收、創新的發展宗旨,專注於網際網路安全前沿技術和OWASP項目的深度研究,常年組織開展各類開源培訓及沙龍活動,致力於通過對國內外技術、資源的整合、套用和創新,更好地服務業界同仁、服務行業發展,更有力地推動國內網際網路安全技術的進步與升級。
10.3 參考文獻 52
第11章 V9:通信安全 53
11.1 控制目標 54
11.2 驗證要求 54
11.3 參考文獻 56
第12章 V10:HTTP安全配置 58
12.1 控制目標 59
12.2 驗證要求 59
12.3 參考文獻 60
第13章 V11:惡意控制項 62
13.1 控制目標 63
13.2 驗證要求 63
13.3 參考文獻 64
第14章 V12:業務邏輯 65
14.1 控制目標 66
14.2 驗證要求 66
14.3 參考文獻 67
第15章 V13:檔案和資源 68
15.1 控制目標 69
15.2 驗證要求 69
15.3 參考文獻 70
第16章 V14:移動應用程式 71
16.1 控制目標 72
16.2 驗證要求 72
16.3 參考文獻 74
第17章 V15:Web服務 75
17.1 控制目標 76
17.2 驗證要求 76
17.3 參考文獻 78
第18章 V16:安全配置 79
18.1 控制目標 80
18.2 驗證要求 80
18.3 參考文獻 81
第三篇 ASVS實踐案例分析
第19章 ASVS的實踐案例 83
19.1 案例1:作為安全測試指南使用 84
19.2 案例2:作為SDLC的實施指導 86
附 錄
附錄A 名詞解釋 89
附錄B 參考文獻 95
附錄C 標準映射 97
附錄D ASVS術語表 99
附錄E 採用ASVS的OWASP項目 104
附錄F OWASP安全編碼規範快速參考指南 106
作者簡介
OWASP是一個開源的、非盈利的全球性安全組織,致力於套用軟體的安全研究,在業界具有一流的影響力和權威性。作為OWASP面向中國的區域分支,OWASP中國自2006年正式啟動,目前已擁有來自網際網路安全專業領域和政府、電信、金融、教育等相關領域的會員5000多名,形成了強大的專業技術實力和行業資源聚集能力,有力推動了安全標準、安全測試工具、安全指導手冊等套用安全技術在中國的發展,成為了積極推動中國網際網路安全技術創新、人才培養和行業發展的中堅力量。作為OWASP中國的運營中心,網際網路安全研究中心(Security Zone,簡稱SecZone)是國內首個獨立、開源的網際網路安全研究機構。中心始終秉持引入、吸收、創新的發展宗旨,專注於網際網路安全前沿技術和OWASP項目的深度研究,常年組織開展各類開源培訓及沙龍活動,致力於通過對國內外技術、資源的整合、套用和創新,更好地服務業界同仁、服務行業發展,更有力地推動國內網際網路安全技術的進步與升級。
