软件安全隐患及防范措施

[本章教学重点]

●了解软件安全隐患的来源。

●了解软件生命周期中的安全问题。

●掌握基本安全编程的原理及方法，包括内存安全、线程/进程安全等。

●掌握应用安全编程的原理及方法，包括Web编程安全，RPC和组件安全等。

●了解软件安全测试的涵盖层面。(www.xing528.com)

[本章关键词]

安全威胁建模（Security Threat Modeling）；缓冲区溢出（Buffer OverFlow）；线程死锁（Thread Deadlock）；跨站脚本攻击（XSS）；单点登录（SSO）；远程调用安全（Remote Call Security）；安全测试（Security Testing）。

现代生活中，计算机的应用给人们的生活带来了巨大的便利。计算机系统越来越广泛地深入到各个领域，其带来的安全问题也越来越受到重视。软件是组成计算机应用的一个重要部分，当软件由于不安全而遭到攻击，或者运行期间出现错误时，会给用户带来巨大损失，如犯罪分子利用软件漏洞来获取有价值的信息，用于谋取利益，又如软件因为开发时没有考虑运行时的具体情况，而造成运行时突然崩溃等。

越来越多的软件安全隐患对软件的开发者提出了更高的要求，要求程序员能够编写出错误较少的程序，并且能够及时修复软件出现的突发问题，切实为软件使用者服务。安全编程是软件质量的重要保证，在软件开发和程序设计中具有重要地位。不过，在实际的软件工程中，安全隐患的出现往往来源于多个方面，给软件系统带来的危害也是多方面的。安全问题出现的原因众多，而某些安全问题又具有不间断发生、难于调试等特点，因此，很难用一个单纯的理论来完全地阐述安全编程问题。基于这个考虑，软件安全的内容主要针对如异常情况下的安全、线程操作中的安全、数据安全加密等。