软件开发安全性设计主讲内容软件安全的概念安全漏洞风险管理框架安全开发生命周期软件安全的七个接触点n软件安全的概念软件安全的概念第一部分许多关键基础设施取决于计算机安全关于软件安全的相关报道软件安全的概念出现软件故障现象的原因是软件存在漏洞。“任何软件,不论它看起来是多么安全,其中都隐藏漏洞”。软件安全的目的是尽可能消除软件漏洞,确保软件在恶意攻击下仍然正常运行。报告给CERT/CC的与安全相关的软件弱点软件安全问题加剧的三个趋势互联性多数计算机与Internet相连多数软件系统互联于Internet可扩展性通过接受更新或者扩展件使系统升级复杂性代码行数增加、网络式、分布式Windows操作系统复杂性n安全漏洞安全漏洞第二部分安全漏洞安全漏洞安全漏洞所有的软件都存在潜伏的漏洞安全必须经过长时间实际运行证明软件安全漏洞可分为两大类:设计漏洞实现漏洞设计漏洞示例Microsoft Bob是作为Windows ME和Windows 98的辅助程序而设计的,其中包含一个设置系统密码的工具。当用户试着输了三次(不正确)密码时,Bob将弹出如下的信息:“我想你忘记了你的密码,请输入一个新的密码。”然