序2

Prologue

《OWASP代码审查指南(第2.0版)》已成功引入当前主流的安全威胁和对策。此版本还包括了能反映OWASP组织有关安全代码审查最佳实践经验的新内容。

内容说明

本指南旨在向软件开发人员和管理人员建议有关安全代码审查的最佳实践,以及如何在软件安全开发生命周期(S-SDLC)中使用它。本指南的开头部分向读者介绍了安全代码审查,以及如何将其引入公司的S-SDLC中。随后,本指南集中在特定的技术主题,并提供了审查人员应该在审查技术代码时查找的样例。要特别指出的是,本指南包括如下几部分。

1.概述

本部分向读者介绍了安全代码审查,以及安全代码审查可以为开发组织带来的好处。另外,还对安全代码审查技术进行了概述,并介绍了安全代码审查与其他安全代码分析技术的对比。

2.方法论

本部分详细介绍了如何将安全代码审查技术集成到开发组织的S-SDLC中,以及安全代码审查人员如何确保他们执行有效的安全代码审查。另外,本部分还包含了在安全代码审查中应用基于风险的信息,使用威胁模型了解正在审查的应用程序,以及了解由外部业务所驱动的应用程序是如何影响安全代码审查需要的。

3.基于控制技术的审查

本部分深入常见的安全控制技术,包括身份验证、授权、日志记录和信息防泄露,并使用多种语言的安全代码示例指导审查人员。本部分可用于学习各种控件的重要方面,并在执行安全代码审查时作为直接参考。

4.基于安全漏洞的审查

本部分深入分析了常见的应用程序安全漏洞,包括XSS、SQL注入和会话跟踪问题。与前面的内容一样,读者可以了解各种安全漏洞的信息,并将本指南作为直接参考。