軟件開發安全之道：概念、設計與實施

本書共有13章，分為三大部分，即概念、設計和實施。具體內容包括：第一部分(第1~5章)為全書提供了概念基礎，涉及信息安全和隱私基礎概述、威脅建模、對可識別威脅進行防禦性緩解的通用戰略、安全設計模式，以及使用標準的加密庫來緩解常見的風險。第二部分(第6~7章)分別從設計者和審查員的角度討論了如何使軟件設計變得安全的指導，以及可以應用哪些技術來實現安全性。第三部分(第8~13章)涵蓋了實施階段的安全性，在有了一個安全的設計后，這一部分將會解釋如何在不引入額外漏洞的情況下進行軟件開發。



[美]洛倫·科恩費爾德(Loren Kohnfelder)，從事編程行業已經超過50年時間，在麻省理工學院攻讀碩士研究生期間發表的論文“關於一項實用的公鑰加密系統(Towards a Practical Public-Key Cryptosystem)”(1978)描述了數字證書以及公共密鑰體系結構(PKI)的基礎。他的軟件從業經歷包括各式各樣的編程類工作，如編寫各種打孔卡、磁盤控制器驅動、 鏈接加載器(linking loader)、電子遊戲，以及半導體研究實驗室的設備控制軟件。在微軟供職期間，他回歸了安全工作，加盟了微軟的IE瀏覽器團隊，之後又加入了.NET平台安全團隊，參與了全行業主動安全進程方法的設計。近期他加盟了谷歌公司，曾擔任安全團隊的軟件工程師，此後又參與組建了隱私團隊，對大型商業系統進行了百次以上的安全設計審查。

[美]洛倫·科恩費爾德（Loren Kohnfelder）
 
從事程式設計行業已經超過50年時間，在麻省理工學院攻讀碩士研究生期間發表的論文“關於一項實用的公開金鑰加密系統(Towards a Practical Public-Key Cryptosystem)” (1978)描述了數位憑證以及公共金鑰體系結構(PKI)的基礎。他的軟體從業經歷包括各式各樣的程式設計類工作，如編寫各種打孔卡、磁碟控制卡驅動、連結載入器(linking loader)、電子遊戲，以及半導體研究實驗室的設備控制軟體。
 
在微軟供職期間，他回歸了安全工作，加盟了微軟的IE流覽器團隊，之後又加入了.NET平臺安全團隊，參與了全行業主動安全進程方法的設計。近期他加盟了穀歌公司，曾擔任安全團隊的軟體工程師，此後又參與組建了隱私團隊，對大型商業系統進行了百次以上的安全設計審查。