应用软件安全代码审查指南(新型网络安全人才培养丛书)
上QQ阅读APP看本书,新人免费读10天
设备和账号都新为新人

中文版说明

(1)本书为OWASP Code Review Guide(V 2.0)的中文版。该版本尽量提供英文版本中的图片,并与原版本保持相同的风格。对于存在的差异,敬请谅解。

(2)为方便读者阅读和理解本书中的内容,本书对英文版中的部分章节进行了顺序调整。

(3)由于译者团队水平有限,若存在错误敬请指正。

(4)如果您有关于本书的任何意见或建议,可以通过以下方式联系我们:

邮箱:project@owasp.org.cn

微信公众号:

“OWASP 安全代码审查指南”项目支持单位:

中文版工作团队成员简介:(按姓氏拼音顺序排序)

Rip

OWASP 中国主席

OWASP S-SDLC项目、OWASP中文项目、OWASP中国各项目发起人。超过15年的安全领域从业经验,资深安全专家。

陈香锡

OWASP 中国会员

安全检测与渗透测试专家,原SAINTSEC安全团队联合创始人,清远职业技术学院特聘安全专家和讲师。具有多年软件安全开发、乙方安全攻防实战经验,熟悉OWASP Top 10软件安全威胁体系。对软件安全开发、Web安全渗透有深入的分析和研究;先后为中国移动、金蝶软件、平安银行、招商银行、广州银行、新疆银行、华南理工大学等近50家企业级客户提供渗透测试、安全咨询、安全培训等服务项目。

陈中举

OWASP 中国会员

长江大学网络工程系主任、副教授、硕士研究生导师

近5年主持湖北省教育厅项目1项,参与湖北省自然科学基金项目2项,主持和参与油田及地方横向项目10余项,获软件著作权4项。公开发表论文10余篇,其中核心和EI检索7篇,主编行业规划教材1部,参编“十二五”国家规划教材2部。主要研究方向为计算机网络及安全、智能信息系统等。

郭锡泉

OWASP 中国会员

清远职业技术学院信息技术与创意设计学院副院长、副教授

暨南大学博士,研究方向为信息安全技术、信息安全管理。曾参与广东省科技计划项目“基于专用协议栈的流过滤网络防火墙研制”、广东省教育部产学研结合项目“基于新一代网络的入侵检测系统产业化研究”等,发表相关论文25篇。带领清远职业技术学院信息安全技术与应用研究所团队,获 CNNVD、CNVD、CVE等原创漏洞证书数百项、信息安全相关的专利和软件著作权多项;获国家级教学成果二等奖,指导学生参加广东省高职院校职业技能竞赛计算机网络应用赛项获一等奖多项;主编项目化教材《网络互连设备配置》(人民邮电出版社出版)。

何伊圣

OWASP 中国会员

山石网科安全服务部负责人

SAINTSEC信息安全团队创始人。红帽杯、网安中国行等比赛冠军;GeekPwn澳门站选手;获得众多 CNVD、CNNVD 原创漏洞证书;广东省多所高校的外聘信息安全讲师。

李绪勤

OWASP 中国会员

英国华威大学博士,长期关注金融业务风险、金融风险等领域,拥有超过10年IT工作经验和信息安全实践经验。

王颉

OWASP 中国副主席兼OWASP中国成都区域负责人

深圳开源互联网安全技术有限公司副总经理

英国拉夫堡大学网络安全博士。长期从事企业信息体系建设落地和软件安全开发生命周期研究工作,具有丰富的信息安全学术研究和资深的企业信息化建设实践经验,Citrix、ITIL、PMP、CWASP CSSP认证专家。自2009年加入OWASP组织和OWASP中国分部以来,曾参与了“OWASP中文项目”和“OWASP S-SDLC项目”两个OWASP全球项目,并先后主持、参与和独立开展了“OWASP Top 10”“OWASP OpenSAMM”“OWASP 安全编码规范快速参考指南”“OWASP 安全测试指南”等多个OWASP中国分部项目,为在国内提高OWASP安全组织的影响力、提升OWASP研究成果的实用性和适用性做出了重要贡献。

杨盛明

OWASP 中国会员

工业和信息化部电子第五研究所信息安全研究中心工作人员

在校期间研究方向为网络与信息安全,2013年参加工作至今从事信息系统安全测评及风险评估相关工作,牵头实施的项目涉及政府、电力、医疗、金融、教育等行业,测评对象主要涵盖Web应用、移动App、电力系统、工控系统等不同应用系统。工作职责主要包括渗透测试、安全评估、等保测评、测评工具开发等项目的具体技术实施及管理工作,擅长的编程语言包括 C、C++、Java、Python等;工作之余喜欢在Freebuf上发表文章,翻译国外安全资讯、技术博文等。

徐瑞祝

OWASP 中国会员

CWASP L2认证专家、Checkmarx认证专家、CISP讲师、CWASP讲师、资深SDLC咨询师。具有超过10年的安全开发从业经验,对安全编码、代码安全审查、代码安全审查工具有丰富的实践经验,对SDL落地实施与深化应用具有高度的认识水平,并擅长对软件安全开发生命周期的各个阶段的质量控制。主导或参与了华为、中兴通讯、国家开发银行、农业银行、顺丰速运等近40家企业与组织的安全开发与SDLC落地工作;并主导了行业内《源码工具审查基准》的研制,参与了《OWASP安全测试指南(第4版)》的译制。

夏天泽

OWASP 中国安徽区域负责人兼OWASP S-SDLC项目核心负责人之一

深圳开源互联网安全技术有限公司首席战略官(CSO)

中国科学技术大学信息安全专业硕士,CWASP L2 CISP认证专家,CWASP讲师,CWASP CSSP讲师,从事信息安全工作近10年。曾任惠普公司高级安全顾问、思科系统中国研发中心高级安全架构师、思科安全团队核心成员,曾获思科最高级别安全工程师认证(Cisco Security Ninja Black Belt)。涉及领域包括Web安全、Client安全、Mobile安全、SecDevOps等方面。对软件安全开发流程、安全架构、渗透测试、安全事件处理、第三方软件安全管理及安全运维有深入研究和丰富经验。先后参与了 OWASP 中国分部组织的“OWASP CheatSheet”项目和“OWASP Top 10 2017”项目。

余瞰

OWASP 中国会员

南京大学硕士,具有10年软件开发和信息安全经验,曾任职于思科研发和安全团队,参与了全球最大的云会议系统的设计、开发及安全开发流程的建立,曾获思科最高级别安全工程师认证。先后负责国内领先的安全开发云平台的设计与开发、国内领先的交互式安全测试工具的设计与开发及S-SDLC项目咨询。

赵学文

OWASP 中国会员

“注册软件安全开发人员(CWASP CSSD)”认证持有者。自2017年加入OWASP 中国分部以来,积极参与 OWASP 中国组织的“OWASP Top 10 2017”“OWASP ASVS”“OWASP Code Review”等中文项目,为应用软件安全技术的研究与推广做出了积极贡献。