软件安全开发.pdf
50墨值下载
前言
近年来,国内外由于软件系统缺陷引发的重大信息安全事件日益增多,给相关机构或企业带来了不良社会影响和重大经济损
失。软件安全开发是一种系统化的应用安全解决方法,它将一系列安全活动、安全管理实践和安全开发工具有机地结合在一起,
在整个软件开发生命周期中,贯彻安全开发的思想,从源头着手,减少软件安全缺陷与漏洞,从而提高软件运行的安全性。与软
件运行阶段解决安全问题相比,在软件开发阶段考虑安全问题,更有效、更经济。
本书全面梳理了国内外软件安全开发最佳实践,跟踪研究安全开发理论发展,汇集国内诸多专家学者智慧,并汲取软件漏洞
分析经验,用以培养软件开发人员的安全开发意识,提高安全开发水平,增强用户对软件安全威胁的认识,提升IT产品和系统的
抗攻击能力。
本书以内容全面和实用为撰写原则,书中涵盖软件安全需求分析、安全设计、安全编码、安全测试、安全部署与安全开发项
目管理等多个领域的知识,较为全面地分析了软件安全开发最新理论研究成果和产业界最佳实践经验。本书在编写过程中注重理
论与实际相结合,通过案例分析、工具介绍等方式,帮助读者更好地掌握软件安全开发关键技术。
本书适用于信息技术产品项目经理、软件开发人员、软件架构师、软件测试人员,以及政府相关人员和重要信息基础设施网
络技术从业人员等。本书能满足上述人员网络安全工作所需。
本书在编写过程中得到了社会各界人士的关心与支持,在此对这些人士表示感谢,尤其要对沈尚方、谢成、谢安明等人的积
极参与表示衷心感谢。书中不妥或错误之处恳请广大读者批评指正。
第1章 软件安全开发基础
软件自身存在安全漏洞是信息安全问题产生的主要原因之一。本章首先介绍了软件安全问题以及传统软件开发的局限,其次
阐述了软件安全保障和安全软件开发生命周期的内涵,并介绍了国外相关标准和典型安全开发模型,以期读者能够了解软件安全
问题产生的原因、安全开发的重要性,明确软件安全开发的指导思想,及其相互间的关系、特点和适用场景。
1.1 软件安全开发背景
1.1.1 软件的发展和安全问题
软件是指计算机程序、方法和相关的文档资料,以及在计算机上运行时所需要的数据。当今是一个全球化、信息化的时代,
每时每刻都有无数软件系统正在运行。信息化是当今世界发展的大趋势,是推动经济社会变革的重要力量。软件则是信息化建设
的重要组成部分。自进入互联网时代以来,信息化已经覆盖社会生产、生活的方方面面,包括政务、金融、电力、通信、能源、
交通运输等重要行业,这些行业的软件系统的安全与稳定运行直接关系到国计民生,影响到国家安全。
在信息化建设过程中,软件系统的安全体系是一个复杂的体系,系统软件、应用软件和第三方软件的安全问题,以及开发、
部署过程中的安全问题,如果处理不当或者不加防范,都可能给整个系统带来巨大的灾难。
(1)系统软件安全问题
最早的计算机蠕虫——莫里斯蠕虫,是在互联网刚刚开始发展的时候出现的。它在短短12小时内导致6200台采用UNIX操作
系统的SUN工作站和VAX小型机瘫痪或半瘫痪,不计其数的数据和资料遭到破坏。莫里斯蠕虫利用了这些主机使用的UNIX操作
系统中一个服务的缓冲区溢出漏洞,突破了系统自身安全功能的保护。
2014年9月“破壳”(Shellshock)漏洞首次爆发,该漏洞属于典型的脚本注入漏洞。基于Bash的常用远程服务在输入的
过滤中没有严格限制边界,也没有做出合法化的参数判断,导致在Linux等服务器操作系统上可能被远程执行任意命令。这个漏
洞包含了远程代码执行和本地提权,可以直接获取权限。“破壳”漏洞影响Linux和Mac OSX操作系统平台,包括但不限于
Redhat、CentOS、Ubuntu、Debian、Fedora、Amazon Linux、OS X 10.10等平台。而类UNIX系统是众多网络设备的底层
操作系统,特别是Bash广泛地分布和存在于设备中,致使“破壳”漏洞的危害范围很大,涉及网络设备、网络安全设备、云计
算和大数据中心等。
(2)应用软件安全问题
自2011年以来,网上陆续披露出一些社会保险信息系统的安全漏洞,导致上千万公民信息泄露。造成这一安全问题的原因
是在开发过程中缺乏安全知识,导致开发出的系统存在SQL注入、任意路径遍历等安全漏洞。
近年来,互联网金融“异军突起”。据不完全统计,截至2014年11月,已有近165家P2P平台遭遇黑客攻击陷入系统瘫痪、
数据被恶意篡改、资金被洗劫等安全问题中。行业中众多网站都遭遇过黑客攻击、数据泄露、威胁勒索等安全事件。很多互联网
金融企业通过购买通用软件模板或组织自主开发P2P网贷平台,导致网站系统中包含XSS跨站脚本漏洞、CSRF跨站请求伪造漏
洞、平行越权漏洞、任意用户密码重置漏洞等一系列安全开发漏洞,仔细分析原因,不难发现P2P金融网站系统开发普遍存在安
全技术力量不足的状况。
(3)第三方代码安全
2014年4月,OpenSSL“心脏出血”安全漏洞大范围爆发。OpenSSL是安全套接层密码库,同时是一个没有太多限制的开
放源代码软件包,支持SSL和TLS协议。Apache使用它加密HTTPS,OpenSSH使用它加密SSH,很多涉及资金交易的平台(如
支付网站)都用它来做加密工具。4月8日,OpenSSL 1.0.1~1.0.2-beta1版本发现Heartbleed(心脏出血)漏洞,该漏洞会暴
露HTTPS服务器64KB的内存明文信息,可能包含session、认证以及账户密码等敏感信息。由于大量软件使用了存在漏洞的
OpenSSL代码库,尤其是HTTPS网站(大多采用OpenSSL来实现对SSL协议的支持),致使国内众多大型网站和厂商受到影
响。
Java的跨平台特性使其应用广泛,并因此遭受大量黑客攻击。2011年微软监测到2750万次针对Java漏洞的攻击,使Java超
越Adobe成为黑客主要目标。2013年,Java 7曾爆出重大安全漏洞,虽然甲骨文紧急发布了Java 7的更新,但Facebook、苹
果、微软、Twitter等大型互联网跨国企业仍被黑客利用该漏洞成功入侵。该漏洞影响Java SE 7(Standard Edition 7)的用
户,当用户不慎浏览到含有恶意Java Applet的网页,黑客就有机会由Java Applet内的恶意程序代码入侵用户计算机。由于Java
7纳入了动态语言特性,恶意Java Applet可以绕过Java安全沙箱,在不经用户允许的状况下执行,黑客能以不同用户权限窃取用
户数据。
同年7月,Struts2漏洞爆发。Struts2是一个帮助Java开发者利用J2EE开发Web应用的开发框架,作为网站开发的底层通用
模板,在大型互联网企业、政府、金融机构等网站建设中应用广泛。漏洞涉及Struts2.0及以上版本(2.0-2.3.15),能远程执行
命令并开放重定向。利用该漏洞,黑客可发起远程攻击,不但可以窃取网站数据信息,甚至还可以取得网站服务器控制权。
of 39
50墨值下载
【版权声明】本文为墨天轮用户原创内容,转载时必须标注文档的来源(墨天轮),文档链接,文档作者等基本信息,否则作者和墨天轮有权追究责任。如果您发现墨天轮中有涉嫌抄袭或者侵权的内容,欢迎发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。
下载排行榜
评论