前    言

随着信息化系统建设复杂度的提高、网络与数据库的迅速发展及其应用的不断广泛和深入，社会对信息和信息技术依赖性的不断增强，软件的安全性显得越来越重要。不同的软件包含各类信息，有的包含行业机密，有的包含个人隐私信息，有的甚至包含国家机密信息，软件的安全性已经关系到国家政治、军事、经济等各个方面乃至全社会的安全，针对软件安全性进行测试也就显得十分重要。尽管“软件安全”的概念已经为大多数业内人士所熟知，但国内在软件安全测试领域仍存在很大差距，培养软件安全测试方面的人才已经成为高等学校的一项重要任务，这也是编写本书的目的。

本书是针对高等院校计算机、软件工程等专业本科生的教学特点和教学要求，更加强调理论和工程技术应用相结合而编写的教材。本书以介绍软件安全的基础理论知识、软件安全设计与编程的基础知识、软件安全技术的基本知识为背景，以代码安全静态分析和软件安全动态渗透测试知识为支撑，重点是通过介绍WebInspect和HP Fortify这两款惠普公司开发的软件安全测试工具，使读者能够系统地了解并掌握软件安全测试的理论与实际方法，达到理论与实践相结合的教学效果。

本书由3部分构成。第1部分包括第1～3章，主要介绍软件安全基本概念、安全的软件开发生命周期、软件安全编程以及软件安全相关的技术，为第2部分介绍软件安全测试方法进行必要的准备和铺垫。第2部分包括第4和第5章，完整和系统地介绍代码安全静态分析方法和软件安全动态渗透测试方法。第3部分包括第6～8章，详细介绍惠普公司开发的安全测试软件WebInspect和HP Fortify的使用方法。

本书旨在为读者提供软件安全测试相关的基础理论和相关软件的使用技巧，并重点讨论软件安全问题的现状和相关的国际标准，介绍软件安全技术中的加密技术、身份验证技术、访问控制技术、安全保障和网络安全的相关知识。全书涉及的内容十分广泛，在作为教材使用时可根据课程要求和学时数在内容、重点和深度方面进行适当的取舍。

本书由北京工业大学何泾沙教授担任主编，参编人员包括蔡建平、轩兴刚、白鑫、杜江浩、郭军、周博、赵斌，以下人员在编写过程中多次参与了研讨活动以及最后的校稿：张玉强、张伊璇、刘公政、陈奕洲、潘力斌、万雪姣、徐琛、张博雍、张跃骞、郑伟。在此向所有参编和参校人员表示衷心感谢。

本书在编写过程中参考了国内外许多相关领域的文献和书籍，也从其他同行的工作中得到了很多启发，在此一并向相关人士表示衷心感谢。

由于作者水平和编写时间所限，书中难免存在各种错误与不足，敬请读者和同行专家批评指正。

编　者