安全编程代码静态分析【含一光盘】

图书标准信息

• 作者 Brian Chess；Jacob West
• 出版社 机械工业出版社
• 出版时间 2008-03
• 版次 1
• ISBN 9787111233213
• 定价 56.00元
• 装帧 平装
• 开本 16开
• 纸张 胶版纸
• 页数 362页
• 原版书名 Secure Programming with Static Analysis

【内容简介】

　　本书介绍应用静态分析技术创建安全软件的方法，共分为4个部分。第一部分“软件安全和静态分析”，讲述软件安全静态分析概述性的内容，即软件安全问题：静态分析帮助改善软件安全性的方法；以及将静态分析集成到软件开发过程等。第二部分“常见问题”，探讨当前最为常见的安全问题和安全缺陷类型，并用来自安全实践的Java和C代码实例阐明了：如何发现编码错误：如何防止出现编码错误：以及通过静态分析如何能快速找出类似的错误等。第三部分“特性与特色”，处理影响常见的各种程序以及特殊软件功能的相关安全问题。第四部分“静态分析实践”，给出一组展现静态分析如何能够改进软件安全的动手实践。

  本书适合于软件开发人员、软件安全工程师、软件分析师，软件测试人员以及其他关注构建更加安全的软件的人员。

【作者简介】

Brian Chess是Fortify Software公司的创始人和首席科学家，他的研究重点是用于创建安全系统的实用方法。他在圣克鲁兹的加帅l大学(University of California)获得计算机工程博士学位，在那里他研究在代码中查找安全相关缺陷问题的静态分析。

【目录】

译者序

序

前言

作者简介

第一部分　软件安全和静态分析

　第1章　软件安全问题

　  1.1　仅有防御性编程还不够

　  1.2　安全功能≠安全的功能

　  1.3　质量的误区

　  1.4　软件开发全局中的静态分析

　  1.5　漏洞分类

　　  1.5.1　7种有害的领域

　　  1.5.2  “7种有害的领域”与“OWASP前10名”

　  1.6　小结

　第2章　静态分析简介

　  2.1　静态分析的能力和局限性

　  2.2　通过静态分析解决问题

　　  2.2.1　类型检查

　　  2.2.2　风格检查

　　  2.2.3　程序理解

　　  2.2.4　程序验证和属性检查

　　  2.2.5　Bu9查找

　　  2.2.6　安全审查

　  2.3　一点理论，一点实际

　　  2.3.1　成功准则

　　  2.3.2　分析源代码与分析编译后的代码

　  2.4　小结

　第3章　作为代码审查过程组成部分的静态分析

　　3.1　执行代码审查

　　  3.1.1　代码审查周期

　　  3.1.2　避开可利用性陷阱

　  3.2　将安全审查加入到现有的开发过程中

　　  3.2.1　采用工具的疑虑

　　  3.2.2　小处着手，循序渐进

　  3.3　静态分析度量标准

　  3.4　小结

　第4章　静态分析技术内幕

　  4.1　建模

　　  4.1.1　词法分析

　　  4.1.2　解析

　　  4.1.3　抽象语法

　　  4.1.4　语义分析

　　  4.1.5　跟踪控制流

　　  4.1.6　跟踪数据流

　　  4.1.7　污染传播

　　  4.1.8　指针别名歧义

　　4.2　分析算法

　 　 4.2.1　断言检查

　　  4.2.2　单纯本地分析

　　  4.2.3　本地分析方法

　　  4.2.4　全局分析

　　  4.2.5　研究性的工具

　　4.3　规则

　　  4.3.1　规则格式

　　  4.3.2　用于污染传播的规则

　　  4.3.3　本书中讨论的规则

　　4.4　报告结果

　　  4.4.1　结果的分组和分类

　　  4.4.2　消除非预期的结果

　　  4.4.3　解释结果的意义

　　4.5　小结

第二部分  常见问题

　第5章  处理输入

　第6章  缓冲区溢出

　第7章  缓冲区溢出伴随的问题

　第8章  错误和异常

第三部分  特性与特色

　第9章  Web应用程序

　第10章  XML与Web服务

　第11章  隐私与秘密

　第12章  具有特权的程序

第四部分  静态分析实践

　第13章  Java语言源代码分析练习

　第14章  C语言源代码分析练习

结束语

参考文献