作者简介

多年来一项调研显示,软件专家可以对应用安全的定义有中央通晓,可是,他们却无计可施修复由此所掀起的昭通题材。

作者:(美国)舍利(Gary B.Shelly) (美国)Thomas J.Cashman (美国)Harry
J.Rosendlatt 译者:史晟辉 王艳清 李芳 等

亚洲必赢app官方下载 1

目录

软件专家自身以及她们所提供的工作率领方面都缺少软件安全编码的实践经验。

出版者的话
译者序
前言
第1章 系统分析与统筹绪论1
1.1 音讯技术的影响2
1.1.1 IT的未来2
1.1.2 系统分析与统筹的效用3
1.1.3 哪个人开发音信体系4
1.2 音信连串组成4
1.2.1 硬件5
1.2.2 软件5
1.2.3 数据6
1.2.4 过程6
1.2.5 人6
1.3 了然集团7
1.3.1 公司概图7
1.3.2 集团模型7
1.3.3 新型集团8
1.4 Internet的影响8
1.4.1 B2C8
1.4.2 B2B9
1.4.3 基于互连网的连串开发9
1.5 公司怎样行使音讯连串10
1.5.1 公司测算种类10
1.5.2 事务处理系统10
1.5.3 业务协理系统11
1.5.4 知识管理体系12
1.5.5 用户生产率系统12
1.5.6 音信种类融为一体13
1.6 音信连串用户及其要求13
1.6.1 高层负责人13
1.6.2 中层管理者和学识工人13
1.6.3 老板和小组管事人14
1.6.4 操作人士14
1.7 系统开发工具和技术14
1.7.1 建模14
1.7.2 原型设计14
1.7.3 总括机协理系统工程(CASE)工具14
1.8 系统开发方法15
1.8.1 结构化分析16
1.8.2 面向对象分析16
1.9 规划和模型化系统开发项目17
1.9.1 相比较预测模型和适应模型17
1.9.2 SDLC瀑布模型18
1.9.3 适应性方法和模型20
1.9.4 联合应用程序开发和飞跃应用程序开发方法和模型21
1.9.5 其余开发方法和模型21
1.9.6 项目管理的重中之重22
1.10 系统开发原则22
1.10.1 规划22
1.10.2 用户加入总体体系开发进度22
1.10.3 仔细听取意见22
1.10.4 使用项目管理工具来确定义务和关键22
1.10.5 保持灵活性23
1.10.6 提供规范的费用与效率音讯23
1.11 消息技术机构23
1.11.1 应用程序开发23
1.11.2 系统协助和安全23
1.11.3 用户接济23
1.11.4 数据库管理24
1.11.5 网络管理24
1.11.6 Web支持24
1.11.7 质量担保(QA)24
1.12 系统分析员地位24
1.12.1 责任24
1.12.2 所需技能和背景24
1.12.3 认证25
1.12.4 工作机遇25
本章小结26
在线学习27
案例模拟:SCR 公司28
本章陶冶28
知识应用29
案例研商30
案例实践:SoftWear公司32

像Target、Home Depot以及JP MorganChase那样的营业所都将安全漏洞视为头条信息,在那种商业环境中,安全编码实践便成为一个大难题。假使软件专家们了然怎么编写抗攻击性代码,并且高层管理人员可以将安全编码排在优先的身价,那么,就可能阻碍这个安全漏洞和数量缺失的暴发。

第1阶段 系统规划
第2章 集团案例剖析36
2.1 战略布署——IT系统开发框架37
2.1.1 战略设计概述38
2.1.2 从战略统筹到事情结果38
2.1.3 集团实例40
2.1.4 IT部门在品种评估中的角色41
2.1.5 前景41
2.2 什么是商家案例41
2.3 音讯种类项目42
2.3.1 系统项目紧要成因42
2.3.2 影响系统项目标要素43
2.3.3 内部因素44
2.3.4 外部因素44
2.3.5 项目管理工具46
2.3.6 危机管理46
2.4 系统须要的评论47
2.4.1 系统要求表格47
2.4.2 系统审核委员会48
2.5 可行性概述48
2.5.1 操作可行性48
2.5.2 技术趋势49
2.5.3 经济可行性49
2.5.4 进度可行性50
2.6 可行性研商50
2.7 设定优先级50
2.7.1 影响优先级的元素50
2.7.2 可自由支配项目和不足自由支配项目51
2.8 开始查明概述51
2.8.1 与管理人士和用户交换52
2.8.2 规划初叶查明52
本章小结57
在线学习58
案例模拟:SCR集团58
本章陶冶59
文化运用59
案例琢磨60
案例实践:SoftWear公司63

平安代码实践,即用一种无漏洞、幸免黑客盗取数据的艺术来编排应用程序。那并非全新的看法,早在10年前,就有使用安全大家提议了贺州音讯代码的话题。John狄克son是克雷塔罗Denim
Group应用安全咨询公司的一位主持,他说:“通过转移软件的构建才能真的地缓解其安全题材。”

第2阶段 系统分析
第3章 要求建模70
3.1 系统分析阶段概述71
3.1.1 系统分析运动72
3.1.2 系统分析技术72
3.1.3 面向团队的艺术和技术72
3.2 联合应用程序开发73
3.2.1 用户参预73
3.2.2 JAD加入者及职务73
3.2.3 JAD的长处和缺陷74
3.3 急速应用程序开发74
3.3.1 RAD阶段和活动75
3.3.2 RAD目标76
3.3.3 RAD的亮点和瑕疵76
3.4 建模工具和技能76
3.4.1 CASE工具76
3.4.2 功用分解图77
3.4.3 数据流图78
3.4.4 统一建模语言78
3.5 系统需要审核列表80
3.5.1 输出实例81
3.5.2 输入实例81
3.5.3 进程实例81
3.5.4 品质实例81
3.5.5 控制实例81
3.6 未来增进. 费用和意义81
3.6.1 可扩张性81
3.6.2 全部有所资产82
3.7 事实发现83
3.7.1 事实发现概述83
3.7.2 who. what. where. when. how和why83
3.7.3 Zachman框架84
3.8 面谈85
3.9 其他事实发现技术89
3.9.1 文档复查89
3.9.2 观察89
3.9.3 问卷调查90
3.9.4 抽样92
3.9.5 调查商讨92
3.9.6 面谈和问卷调查的相比较92
3.10 文档编制94
3.10.1 记录事实的须求性94
3.10.2 软件工具94
3.11 逻辑建模概述97
本章小结97
在线学习98
案例模拟:SCR集团98
本章陶冶99
知识应用100
案例商量101
案例实践:SoftWear集团103

然而,专业人员却对其置之度外。二零一四年Denim
Group公司的一项调查报告展现,软件专家可以对采取安全的概念有中央精通,如SQL注入,然则,他们却无计可施修复由此所掀起的广安题材。二零一四年Denim
Group公司的“应用安全商量告诉”对600名软件开发人员、架构师和质量担保大家开展了考察。该报告从应用程序安全概念(如要挟建模和输入验证)以及对防御性编码的知情两地方对各位专家举行测试调查。

第4章 数据和进度建模114
4.1 数据和进程建模概述115
4.2 数据流图115
4.3 创制数量流图120
4.3.1 数据流图的预订120
4.3.2 步骤1:绘制关联图121
4.3.3 步骤2:绘制数据流图的图0121
4.3.4 步骤3:绘制较低层的图124
4.4 数据字典127
4.4.1 编写数据元素文档127
4.4.2 编写数据流文档129
4.4.3 编写数据存储文档130
4.4.4 编写进度文档130
4.4.5 编写实体文档131
4.4.6 编写记录文档131
4.4.7 数据字典报告133
4.5 进度描述工具133
4.5.1 模块化设计133
4.5.2 结构化波兰语133
4.5.3 决策表134
4.5.4 决策树136
4.6 逻辑模型与物理模型137
4.6.1 模型的逐条137
4.6.2 四模子方法137
本章小结137
在线学习138
案例模拟:SCR公司139
本章训练139
知识运用140
案例讨论141
案例实践:SoftWear公司142

软件专家未能通过安全测试

第5章 对象建模148
5.1 面向对象的术语和定义149
5.1.1 O-O分析概述149
5.1.2 对象150
5.1.3 属性152
5.1.4 方法153
5.1.5 消息153
5.1.6 类154
5.2 对象和类之间的关系155
5.3 使用统一建模语言落成目标建模156
5.3.1 用例建模157
5.3.2 用例图158
5.3.3 类图159
5.3.4 顺序图160
5.3.5 状态转移图160
5.3.6 活动图161
5.3.7 CASE工具161
5.4 协会目标模型161
本章小结162
在线学习162
案例模拟:SCR企业163
本章陶冶163
文化运用164
案例琢磨165
案例实践:SoftWear集团166

狄克son是该报告的要害编著人,在目前的一项会谈中,他与自家分享了Denim
Group公司的一部分新意识:

第6章 开发政策172
6.1 开发政策概述173
6.2 Internet的影响173
6.2.1 软件作为一种服务173
6.2.2 传统的和按照Web的体系开发175
6.3 软件外包177
6.3.1 软件外包的腾飞177
6.3.2 软件外包花费179
6.3.3 外包方案应注意的题材和事项179
6.3.4 国际外包179
6.4 软件自主开发方案180
6.4.1 自主开发或购买决策180
6.4.2 软件内部支出181
6.4.3 购买软件包182
6.4.4 定制软件包182
6.4.5 创制用户应用程序182
6.5 系统分析员的义务185
6.6 花费-效益分析185
6.6.1 财务分析工具185
6.6.2 开销-效益分析清单186
6.7 软件置备进度186
6.8 系统分析义务的落成193
6.8.1 系统需求文档193
6.8.2 向管理单位作陈述报告193
6.9 系统分析到系统规划的连片194
6.9.1 准备系统规划职务194
6.9.2 逻辑设计和大体设计的关联194
6.10 系统规划准则195
6.10.1 系统规划目的195
6.10.2 权衡设计197
6.11 原型设计198
6.11.1 原型设计方法198
6.11.2 原型设计工具199
6.11.3 原型的局限性199
6.12 软件开发未来的发展趋势199
本章小结200
在线学习201
案例模拟:SCR公司201
本章磨炼202
文化运用202
案例商量203
案例实践:SoftWear集团205

狄克son说,大部分软件开发人士对采取安全概念都会有早晚的垂询,可是,他们却不必了然如何将这几个概念融入到实施中。狄克son
说:“当被问及到何以编写更为安全的代码时,这个专家都回答不上来。”他说,这么些学者们应对应用安全性难点时,平均唯有56%的题材回答正确,“70%专家不及格。”同样,很多软件专业人士也远非受过丰硕多的行使安全培训。其中一个调研难点是,“你已经接受过多久应用安全教育?”半数被调查者的答案是,一天以上。其余一半的被调查者的答案是,少于一天,或者是从未被作育过。

第3阶段 系统规划
第7章 输出和用户界面设计208
7.1 输出设计209
7.2 打印和显示屏输出211
7.2.1 报告212
7.2.2 用户插手报告布置214
7.2.3 报告安插基准214
7.2.4 报告安插难题215
7.2.5 基于字符的告诉安顿216
7.2.6 打印容量和时间要求216
7.2.7 输出控制和平安218
7.3 用户界面设计219
7.3.1 用户界面的演变220
7.3.2 人机交互220
7.3.3 以用户为基本的宏图标准224
7.3.4 用户界面设计的率领方针225
7.3.5 用户界面控件229
7.4 输入设计231
7.4.1 输入和数码输入方法232
7.4.2 输入量233
7.4.3 设计数据输入界面234
7.4.4 输入错误235
7.4.5 源文档236
7.4.6 输入控制237
本章小结239
在线学习239
案例模拟:SCR公司240
本章磨炼240
文化运用241
案例探究242
案例实践:SoftWear公司243

自己愿意那样想,一天的运用安全培训至少比一贯不培训过的要好得多。可是,调查结果的实例注明,事实未必如此。在踏勘中,大家对那多少个自称接受过应用程序安全培训的专业人员那样提问:“你的店家履行过SDLC或者其余流程创新形式,从而使所营造的概念在其实运行中变得规范吗?”33%的人的答疑是“yes”,而其余三分之二的人的回答是“不打听”或者是“no”。换句话说,固然部分公司对软件工作人员举办了动用安全培训,可是,有的公司依旧“采取以前的办法方法举行现有工作。”

第8章 数据部署250
8.1 数据安排的概念251
8.1.1 数据结构251
8.1.2 文件处理系统概述253
8.1.3 从文件系统到数据库系统的变革…254
8.1.4 数据库的老毛病254
8.2 DBMS的组成255
8.2.1 用户. DBA和连锁系统的接口255
8.2.2 数据操纵语言256
8.2.3 模式256
8.2.4 物理数据库256
8.3 基于Web的数据库设计256
8.3.1 基于Web的统筹特征256
8.3.2 Internet术语257
8.3.3 数据库与Web的连年257
8.3.4 数据安全258
8.4 数据安插的术语259
8.4.1 定义259
8.4.2 关键字段259
8.4.3 参照完整性261
8.5 实体-联系图261
8.5.1 绘制实体联系图262
8.5.2 联系类型262
8.5.3 基数263
8.6 标准化265
8.6.1 标准表示法格式265
8.6.2 重复组和非标准化设计265
8.6.3 第一范式266
8.6.4 第二范式266
8.6.5 第三范式268
8.6.6 一个规范的事例269
8.7 数据陈设中的编码272
8.7.1 编码概述272
8.7.2 编码类型273
8.7.3 编码设计274
8.8 设计数据库的手续275
8.9 数据库模型275
8.9.1 关周详据库276
8.9.2 面向对象数据库277
8.10 数据存储和做客278
8.10.1 数据存储和走访的战略性工具278
8.10.2 逻辑和物理存储281
8.10.3 数据存储格式281
8.10.4 选取数据存储格式282
8.10.5 日期字段283
8.11 数据控制283
本章小结284
在线学习285
案例模拟:SCR公司286
本章磨练286
文化应用287
案例研讨288
案例实践:SoftWear公司289

未果的高层管理者

第9章 系统架构292
9.1 系统架构审核列表293
9.1.1 公司资源规划294
9.1.2 起始开支和总拥有开销295
9.1.3 可伸缩性296
9.1.4 Web集成297
9.1.5 遗留系统的接口需要298
9.1.6 处理方案298
9.1.7 安全难题298
9.2 规划架构298
9.2.1 服务器298
9.2.2 客户机299
9.3 客户机/服务器架设301
9.3.1 概述301
9.3.2 客户机/服务器设计情势301
9.3.3 客户机的门类:胖客户机和瘦客户机303
9.3.4 客户机/服务器的层303
9.3.5 中间件304
9.3.6 开销-效益难题304
9.3.7 客户机/服务器的习性难题304
9.4 基于Internet的架构306
9.4.1 开发内部电子商务解决方案307
9.4.2 打包解决方案和电子商务服务提供商308
9.4.3 公司门户网站308
9.5 处理措施310
9.5.1 在线处理310
9.5.2 批处理311
9.5.3 在线处理和批处理的组成312
9.6 网络模型313
9.6.1 OSI参考模型313
9.6.2 网络建模工具313
9.6.3 网络拓扑结构313
9.6.4 网络协议和授权难题316
9.6.5 有线互连网316
9.7 系统管理和援助317
9.7.1 质量管理317
9.7.2 错误管理. 备份和灾祸恢复317
9.8 系统规划的完成321
9.8.1 系统设计表明322
亚洲必赢app官方下载,9.8.2 用户确认322
9.8.3 系统介绍323
本章小结323
在线学习324
案例模拟:SCR公司325
本章陶冶326
文化运用326
案例商量327
案例实践:SoftWear公司..328

如若,以上调查结果精确地反映了现阶段店家的施用安全培训现状,那么那种气象有点不妙。为了使软件专家跟上选取安全的进化速度,公司开销了多量的时日和金钱。不过,一旦学员回答日复一日的工作岗位上,公司却常有不曾在滋长培训所学概念上下任何功夫。但是,那么些口头上批准利用安全培训支出的商家经理们,在实际上幸免安全事故暴发的行事中,却没能保持对安全代码实践的支撑。对于软件专家培训的相干细节大家无法说的太密切,可是,可以知晓地驾驭的是:他们并非要将使用安全性列为重大地点。

第4阶段 系统实施
第10章 系统实施334
10.1 软件品质担保335
10.1.1 软件工程336
10.1.2 国际标准化社团(ISO)337
10.2 应用程序开发的追忆338
10.2.1 系统规划的创造338
10.2.2 应用程序开发步骤339
10.2.3 项目管理339
10.3 结构化应用程序开发340
10.3.1 结构图340
10.3.2 内聚与耦合341
10.3.3 绘制结构图342
10.3.4 其他结构化开发工具343
10.4 面向对象的应用程序开发345
10.4.1 面向对象开发和结构化开发的比较345
10.4.2 面向对象设计的推行346
10.5 编程346
10.5.1 编程环境347
10.5.2 生成代码347
10.6 测试系统347
10.6.1 单元测试348
10.6.2 集成测试348
10.6.3 系统测试349
10.7 文档350
10.7.1 程序文档350
10.7.2 系统文档350
10.7.3 操作文档351
10.7.4 用户文档351
10.8 管理层的特许354
10.9 系统安装与评估354
10.10 运行和测试环境355
10.11 培训355
10.11.1 培训安顿356
10.11.2 供应商培训356
10.11.3 互连网研商会和播客357
10.11.4 外部培训资源358
10.11.5 内部培训359
10.12 数据转换361
10.12.1 数据转换方案361
10.12.2 数据转换安全性和决定362
10.13 系统变更362
10.13.1 直接转换362
10.13.2 并行使用363
10.13.3 指导使用363
10.13.4 渐次使用363
10.14 完成后的义务364
10.14.1 完毕后的评估364
10.14.2 给管理层的最终报告366
本章小结366
在线学习367
案例模拟:SCR集团368
本章磨练368
文化运用369
案例商量370
案例实践:SoftWear集团371

设若那种意况一向不绝于耳下去,软件专家们就无法器重利用安全培训。当然,也会有较少数的软件人员愿意将时刻投入到成为一名闻名的应用程序安全我们上面。但是,一大半人要么觉得安全编程实践仅是一文山会海科学的技术,而对此工作绩效来说并不曾什么样直接关系。

第5阶段 系统运行. 协助与巴中
第11章 系统运行. 扶助和平安378
11.1 系统协理与保安概述379
11.2 用户援救作为380
11.2.1 用户培训380
11.2.2 服务热线380
11.2.3 在线帮衬381
11.3 维护活动382
11.3.1 纠正性维护383
11.3.2 适应性维护384
11.3.3 完善性维护384
11.3.4 预防性维护385
11.4 管理序列支持386
11.4.1 维护集体386
11.4.2 系统管理员386
11.4.3 系统分析员387
11.4.4 程序员387
11.4.5 社团难题387
11.4.6 维护请求的管制387
11.4.7 建立先行级389
11.4.8 配置管理389
11.4.9 修订版390
11.4.10 版本控制390
11.4.11 基线391
11.5 管理连串质量392
11.5.1 质量和负载测量393
11.5.2 容量规划393
11.5.3 系统尊敬工具396
11.6 系统安全397
11.6.1 物理安全397
11.6.2 网络安全400
11.6.3 应用软件安全402
11.6.4 文件安全403
11.6.5 用户安全404
11.7 数据备份和死灰复燃406
11.7.1 备份选项407
11.7.2 灾祸复苏难题408
11.8 系统退化408
11.9 面对前景:挑战和时机409
11.10 IT专业人员战略设计411
11.11 IT证书和认证411
本章小结412
在线学习413
案例模拟:SCR集团414
本章训练414
文化运用415
案例研商416
案例实践:SoftWear公司418

当专家们确实认识到,通过培养才能得到某些技术时,才会越多的青睐到培训的基本点,初步做记录,开头提议难点。当要求动用到这一个技巧时,大家开始须要有限支撑,并商量在何处能学会这一个技能。大家如此做,是因为,大家办事上的输赢都与那几个技术有提到。

系统分析员工具包
第1片段 互换工具422
P1.1 成功互换的方针423
P1.1.1 调换的原因. 人物. 内容. 时间以及艺术423
P1.1.2 文化背景423
P1.1.3 通晓自己的主旨424
P1.2 书面交换424
P1.2.1 书写风格和可读性424
P1.2.2 电子邮件. 备忘录和书信426
P1.2.3 互连网礼节427
P1.2.4 报告429
P1.3 口头互换430
P1.3.1 明确听众430
P1.3.2 明确目标430
P1.3.3 协会报告430
P1.3.4 明确种种专业术语430
P1.3.5 准备报告扶助431
P1.3.6 演练433
P1.3.7 报告433
小结433
练习434

当问到,是不是了然应用安全性以及是不是操纵了黑河代码实践时,我们的作答是,还远未达到那种程度。这种回答表示,不仅仅是软件人士在该考核中从然则关,高官们一样也是不及格的意况。

第2部分 CASE工具436
P2.1 CASE工具概述437
P2.1.1 CASE工具发展史438
P2.1.2 CASE工具市场438
P2.2 CASE术语和概念440
P2.2.1 资料档案库440
P2.2.2 个人工具441
P2.3 集成开发条件443
P2.3.1 集成开发条件示范443
P2.3.2 集成开发工具的利害445
P2.4 CASE工具示例445
P2.4.1 Visible Analyst445
P2.4.2 System Architect446
P2.4.3 Rational Software447
P2.5 将来来头448
P2.5.1 新发展448
P2.5.2 面向对象的剖析与统筹的新生地位450
小结450
练习450

我们怎么样才能扳回那种局面呢?来听听大家的观点。

第3有的 财务分析工具452
P3.1 描述费用和效应453
P3.1.1 开销分类453
P3.1.2 管理音信种类的资金和开销455
P3.1.3 效益分类457
P3.2 费用效益分析457
P3.2.1 回收期分析457
P3.2.2 使用电子表格统计回收期分析…459
P3.2.3 投资回收分析459
P3.2.4 使用电子表格总计ROI461
P3.2.5 现值分析461
P3.2.6 使用电子表格统计现值463
小结464
练习465

【编辑推荐】

第4有些 项目管理工具466
P4.1 项目管理概述467
P4.2 项目统筹468
P4.2.1 确定职务468
P4.2.2 评估任务到位时间与资金估量…469
P4.2.3 影响时间和本钱推测的元素470
P4.3 项目进程安顿概述470
P4.4 使用Gantt图布署项目进度471
P4.5 使用PERT/CPM安排项目进度472
P4.5.1 PERT/CPM概述472
P4.5.2 PERT/CPM图格式472
P4.5.3 职责形式473
P4.5.4 复杂任务情势474
P4.5.5 带有五项任务的PERT/CPM实例474
P4.5.6 关键路径475
P4.5.7 将职分列表转变为PERT/CPM图475
P4.5.8 Gantt图与PERT/CPM图的比较477
P4.6 项目监测与控制477
P4.6.1 项目监测与控制477
P4.6.2 项目进程布置477
P4.7 项目报告478
P4.7.1 项目进行景况会议478
P4.7.2 项目情况报告478
P4.8 项目管理软件479
P4.9 软件变更控制483
P4.10 项目成功的紧要484
P4.10.1 业务难题484
P4.10.2 预算难题484
P4.10.3 进程安顿难题485
P4.10.4 成功的种类管理485
小结485
练习486

第5片段 Internet资源工具488
P5.1 概述489
P5.2 制定Internet搜索策略490
P5.2.1 估摸音讯要求490
P5.2.2 选用合适的工具来合营信息需要490
P5.2.3 评价结果的身分490
P5.2.4 下载结果并实施病毒检测491
P5.3 搜索引擎492
P5.3.1 搜索引擎的基本知识492
P5.3.2 搜索技术492
P5.3.3 高级搜索技术494
P5.3.4 搜索核对表496
P5.4 宗旨目录496
P5.4.1 宗旨目录的例证496
P5.4.2 主旨目录的助益和症结497
P5.5 隐藏网页497
P5.5.1 隐藏网页的例证498
P5.5.2 隐藏网页向导工具498
P5.6 Internet通信资源500
P5.6.1 新闻组500
P5.6.2 时事通信. 博客和网络讨论会501
P5.6.3 网络切磋会502
P5.6.4 邮件列表503
P5.6.5 基于Web的研究组504
P5.6.6 聊天室504
P5.6.7 即时新闻504
P5.7 音讯技术社区资源506
P5.7.1 公司资源507
P5.7.2 政党资源507
P5.7.3 专业人员资源508
P5.7.4 在线学习资源509
小结510
练习511
术语表(见附赠光盘)

 

相关文章

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图