軟件安全概論

第一部分 軟件安全基礎
第一章 緒論
1.1 軟件安全的重要性
1.1.1 軟件安全事件頻發
1.1.2 軟件安全的廣泛影響
1.1.3 軟件安全的目標關鍵性
1.2 主要安全風險
1.2.1 軟件開發缺陷
1.2.2 軟件運維風
1.2.3 開源軟件及其組件風險
1.2.4 軟件安全供應鏈風
1.3 軟件安全問題產生的原因及其造成的影響
1.3.1 軟件安全問題產生的原因
1.3.2 軟件安全問題造成的影響
1.4 生態鏈安全環境下的新挑戰
1.4.1 數據安全
1.4.2 信息物理融合安全
1.4.3 認知域安全
1.5 軟件安全概念與範疇
1.5.1 軟件安全的概念
1.5.2 軟件安全的範疇
1.6 章節組織關系
第2章 軟件安全思維與方法
2.1 軟件安全思維
2.1.1 從全局視角看
2.1.2 從問題分解看
2.1.3 從逆向方法看
2.2 主要技術方法
2.2.1 程序分析與理解
2.2.2 安全測試與證明
2.2.3 漏洞發現與防禦
2.2.4 安全設計與開發
2.2.5 軟件侵權與權益保護
第二部分 軟件安全威脅
第3章 軟件漏洞
3.1 漏洞存在機理與主要問題
3.1.1 軟件漏洞產生的原因
3.1.2 軟件漏洞的危害
3.2 軟件漏洞的分類與管控
3.2.1 軟件漏洞分類
3.2.2 典型剛牛漏洞
3.2.3 軟件漏洞的管控
3.3 內存破壞型漏洞原理分析
3.3.1 空間類內存破壞漏洞
3.3.2 時序類內存破壞漏洞
3.4 非內存破壞型漏洞原理分析
3.4.1 註入類漏洞
3.4.2 跨站類漏洞
3.4.3 身份認證與訪問控制類漏洞
3.4.4 敏感數據泄露
3.4.5 安全配置錯誤漏洞
3.5 漏洞演化規律與發展脈絡
3.5.1 漏洞生命周期
3.5.2 軟件漏洞數量及類型分佈演化
3.5.3 軟件漏洞利用的攻防演化
第4章 惡意代碼
4.1 惡意代碼概述
4.2 惡意代碼類型及特徵
4.2.1 計算機病毒
4.2.2 網絡蠕蟲
4.2.3 特洛伊木馬
4.2.4 流氓軟件
4.2.5 間諜軟件
4.2.6 其他
4.3 惡意代碼機理
4.3.1 計算機病毒機理分析
4.3.2 網絡蠕蟲機理分析
4.3.3 特洛伊木馬機理分析
4.3.4 Rootkit機理分析
4.4 惡意代碼的檢測及對抗
4.4.1 惡意代碼的檢測
4.4.2 惡意軟件的檢測對抗技術
4.5 惡意代碼的發展趨勢
第5章 軟件供應鏈安全
5.1 軟件供應鏈安全概述
5.1.1 軟件供應鏈安全與關鍵環節
5.1.2 軟件供應鏈安全現狀
5.1.3 相關政策法規
5.2 軟件供應鏈中的開源代碼安全
5.2.1 開源代碼安全現狀
5.2.2 開源代碼安全挑戰
5.2.3 不同編程語言的安全問題
5.2.4 開源代碼安全解決方案
5.3 軟件供應鏈中的第三方庫安全
5.3.1 第三方庫安全現狀
5.3.2 基於圖結構的組件庫識別
5.3.3 基於特徵項的組件庫識別
5.3.4 公共組件庫動態檢測技術
5.4 軟件供應鏈安全案例分析
5.4.1 Okta系統供應鏈安全分析
5.4.2 3CX桌面軟件供應鏈安全分析
5.4.3 MOVEit供應鏈安全分析
5.4.4 Applied Materials供應鏈安全分析
5.4.5 CocoaPods供應鏈安全分析
第三部分 軟件安全防護
第6章 軟件安全開發
6.1 軟件安全開發模型
6.1.1 軟件安全開發模型概述
6.1.2 微軟SDL模型
6.1.3 NIST網絡安全框架
6.1.4 McGraw的內建安全模型
6.2 軟件安全設計
6.2.1 安全設計原則
6.2.2 齡設計方法
6.3 軟件安全編程
6.3.1 軟件安全編程原則
6.3.2 安全編程實踐
6.3.3 數據安全編g
第7章 軟件安全分析
7.1 軟件安全分析概述
7.2 逆向分析技術
7.2.1 原理、作用和基本步驟
7.2.2 常用的逆向工具
7.3 代碼相似性分析技術
7.3.1 代碼相似性分析的基本概念
7.3.2 當前代碼相似性分析技術的分類
7.3.3 典型代碼相似性分析方法
7.4 代碼插裝技術
7.4.1 代碼插裝技術原理和用途
7.4.2 靜態與動態代碼插裝
7.4.3 常見代碼插裝工具
7.5 污點分析技術
7.5.1 污點分析技術概念
7.5.2 污點分析技術的基本工作流程
7.5.3 污點分析工具
7.6 符號執行技術
7.6.1 符號執行技術原理
7.6.2 當前符號執行的實現方法和流程
7.6.3 符號執行工具
第8章 軟件安全測試
8.1 軟件安全測試概述
8.1.1 軟件安全測試的概念和分類
8.1.2 軟件安全測試的